linux audit 日志 查看用户_日志管理

最新推荐文章于 2024-07-25 14:24:00 发布
最新推荐文章于 2024-07-25 14:24:00 发布
阅读量658 收藏
点赞数
文章标签: linux audit 日志 查看用户

fa531dfdb5d489d09279f8d51c4e9b98.png

我们平时使用linux时偶尔会遇到一些错误,那么排查错误应该去哪里开始呢,日志就是一个很好的工具,记录了一些操作和错误,当然不同的日志是记录不同的类型的,下面我们就来看看。

常见日志

一、处理日志的进程

第一类:

rsyslogd: 系统专职日志程序。

处理绝大部分日志记录,

系统操作有关的信息,如登录信息,程序启动关闭信息,错误信息

观察rsyslog程序:

[root@localhost ~]# ps aux |grep rsyslogd

root 717 0.0 0.0 219752 3880 ? Ssl 09:05 0:00 /usr/sbin/rsyslogd -n

第二类:

httpd/nginx/mysql: 各类应用程序,可以以自己的方式记录日志.

二、常见的日志文件(系统、进程、应用程序)

# tail   -10   /var/log/messages   //系统主日志文件
# tail -f /var/log/messages          //动态查看日志文件的尾部
# tailf /var/log/secure                 //认证、安全
# tail /var/log/yum.log                 //yum
# tail /var/log/maillog                   //跟邮件postfix相关
# tail /var/log/cron                       //crond、at进程产生的日志
# tail /var/log/dmesg                    //和系统启动相关
# tail /var/log/audit/audit.log          //系统审计日志
# tail /var/log/mysqld.log                //MySQL
# tail /var/log/xferlog                     //和访问FTP服务器相关
# tail  /var/log/wtmp                      //当前登录的用户(命令:w)
# tail  /var/log/btmp                       //最近登录的用户(命令last)        
# tail  /var/log/lastlog                     //所有用户的登录情况(命令lastlog )

rsyslogd配置

rsyslogd配置
1.相关程序
yum install rsyslog logrotate //默认已安装
2.启动程序
systemctl start rsyslog.service
3.相关文件(//观察日志程序的配置文件)
rpm -qc rsyslog
/etc/rsyslog.conf //rsyslogd的主配置文件(关键)
/etc/sysconfig/rsyslog rsyslogd相关文件,定义级别(了解一下)
/etc/logrotate.d/syslog 和日志办轮转(切割)相关(任务二) 主配置文件(告诉rsyslogd进程什么日志,应该存到哪里。)
# vim /etc/rsyslog.conf
1.RULES
RULES:即规则,是一套生成日志,以及存储日志的策略。
规则由设备+级别+存放位置组成。
RULES由FACILITY+LEVEL+FILE组成。
例如:
authpriv.* /var/log/secure(SSH信息)
mail.* -/var/log/maillog(发邮件) //这里有一个-符号, 表示是使用异步的方式记录, 因为日志一般会比较大
cron.* /var/log/cron(创建任务)
*.info;mail.none;authpriv.none;cron.none /var/log/messages //系统日志排除了邮件,认证,计划日志。
2.FACILITY&LEVEL
• facility设备
☐ facility
是系统对某种类型事件的定义。如AUTHPRIV是安全事件,CRON是计划任务事件。
# man 3 syslog
☐ 设备类型
#man 5 /etc/rsyslog.conf 查看设备

86769dc4719eb2554563a21a0400099e.png

☐ 程序类型示例

关于程序和设备的联系问题,程序自身会决定将日志交给哪类设备。如SSH程序会选择安全类设备。这一点由开发者定义。

#grep Facility /etc/ssh/sshd_config

SyslogFacility AUTHPRIV //认证设备

• level级别

c6724b5558a267a4b6f4c76d7a33fce2.png
weixin_39702639
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
《云计算》-安全策略-部署audit监控文件、文件发生任何变化即记录日志、通过手动和ausearch工具查看日志内容
解启超
03-06 486
1 案例1:部署audit监控文件 1.1 问题 本案例要求熟悉audit审计工具的基本使用,完成以下任务操作: 使用audit监控/etc/ssh/sshd_config 当该文件发生任何变化即记录日志 通过手动和ausearch工具查看日志内容 1.2 方案 审计的目的是基于事先配置的规则生成日志,记录可能发生在系统上的事件(正常或非正常行为的事件),审计不会为系统提供额外的安全保护,但她会...
Linux内核审计日志audit_log,linux audit审计(4)--audit日志切分,以及与rsyslog的切分协同使用...
weixin_39616961的博客
05-08 1204
audit的规则配置稍微不当,就会短时间内产生大量日志,所以这个规则配置一定要当心。当audit日志写满后,可以看到如下场景:-r-------- 1 root root 8388609 Mar 31 11:47 audit.log.997-r-------- 1 root root 8388780 Mar 31 11:47 audit.log.998-r-------- 1 root root ...
Linux查看日志文件的正确姿势,求你别tail走天下了!
勇往直前的专栏
03-23 458
作为一个后端开发工程师,在Linux查看查看文件内容是基本操作了。尤其是通常要分析日志文件排查问题,那么我们应该如何正确打开日志文件呢?对于我这种小菜鸡来说,第一反应就是 cat,tail,vi(或vim)了,是的,我曾经用过好多次vim编辑器来查看日志文件(可耻)。 千万不要使用vi命令来查看大文件内容, 尤其对于那些几十G的大文件。因为vi仅仅是一个编辑器(可以理解为windows中的记事...
audit审计超详细介绍,常见审计规则示例,与syslog、secure对比
最新发布
ayychiguoguo的博客
07-25 1264
Audit(审计)在Linux系统中,特别是CentOS中,是一个用于监控和记录系统上各种操作的技术手段。Audit的主要功能是为系统管理员提供一个跟踪系统上与安全相关信息的方法。根据预配置的规则,Audit会生成日志条目,以尽可能多地记录系统上所发生的事件的相关信息。① Audit主要由以下几个部分组成:auditd:Audit守护进程负责把内核产生的信息写入到硬盘上,这些信息由应用程序和系统活动触发产生。
linux audit 日志 查看用户_怎么查看Linux系统用户登录日志
weixin_39681621的博客
11-25 457
请关注本头条号,每天坚持更新原创干货技术文章。如需学习视频,请在微信搜索公众号“智传网优”直接开始自助视频学习。1. last命令简介该命令用来列出目前与过去登录系统的用户相关信息。原文描述说明:show listing of last logged in users2. last命令文件位置[root@zcwyou ~]# which last/usr/bin/last3. last命令原理执行...
Office365 - 如何查询Audit log
WarmSunshine7的博客
02-16 678
在做Office365维护的时候,经常会因为一些user report issue,查询change request等需求需要查询Audit log,那么如何在Office365进行查询呢?本文对此做介绍。
Linuxaudit日志的使用方法
热门推荐
Han的小站
02-27 5万+
auditd服务的安装: 以CentOS6.5为例,使用下面的方法确认auditd服务的安装情况: yumlist audit audit-libs 确认以下两个package是否安装: audit.x86_64
Linux audit 日志审计服务安装及使用
01-12
Linux audit 日志审计服务安装及使用 Linux audit 是一种强大的日志审计服务,可以将审计记录写入日志文件,包括记录系统调用和文件访问。管理员可以检查这些日志,确定是否存在安全漏洞。本文将详细介绍 Linux ...
server_audit.so
04-26
mariadb5.5.68linuxx86_64.tar解压出来的日志审计插件 可直接放在mysql安装目录 install
linux审计日志发送,Linux审计日志
weixin_39846089的博客
05-01 1602
最近在Linux日志中发现有如下信息:vi /var/log/messagestype=CRYPTO_KEY_USER msg=audit(1448528863.866:163): user pid=7735 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=destr...
audit-plugin-mysql-5.7-1.1.11-985-linux-x86_64
04-09
这个名为 "audit-plugin-mysql-5.7-1.1.11-985-linux-x86_64" 的压缩包包含了一个针对 MySQL 5.7 版本的审计解决方案,特别设计用来记录和分析数据库的各种操作,如查询、登录尝试、权限变更等。 审计插件的主要...
后台权限管理/安全日志系统
各研发管理
11-12 836
普通用户很难注意到后台用户管理的细节,但为保证系统的安全运行我们认为权限管理/安全日志是网站重要的后台功能,尤其在多用户的后台环境规范权限管理/安全日志可有效的防止恶意行为操作失误对网站的影响。 由多人管理的网站后台如果没有严格的权限管理、很可能由于员工的失误造成网站内容错误,为此我们为用户提供了严格的权限管理后台。同时为了防止恶意操作...
探索Linux中的`aulast`命令:审计用户的登录历史
听风的鱼鱼儿
06-06 416
aulastaulast命令是Linux系统中一个强大的工具,用于检索和显示用户登录历史的审计日志。通过使用aulast及其选项,系统管理员可以轻松地分析用户登录模式、检测潜在的入侵尝试或不当使用。希望本文的介绍能帮助你更好地利用aulast命令来加强系统的安全审计。
Linux查看用户登陆历史记录
weixin_33748818的博客
07-29 818
 查看用户 cat /home/username/.bash_history 的操作历史  使用root登陆使用last -x可查看用户登陆历史。  last 命令:  功能说明:列出目前与过去登入系统的用户相关信息。  语 法:last [-adRx][-f ][-n ][帐号名称…][终端机编号…]  补充说明:单独执行last指令,它会读取位于/var/log目录下,...
linux】登录审计
akswyh的博客
11-17 389
VMware的“虚拟网络编辑器”输入’nm-connection-editor’,配置以太网为以太网连接配置网卡配置ipv4互ping。
linux日志管理
望星空
05-04 882
1. 日志简介 日志对于安全来说,非常重要,他记录了系统每天发生的各种各样的事情,你可以通过他来检查错误发生的原因,或者受到攻击时攻击者留下的痕迹。日志主要的功能有:审计和监测。他还可以实时的监测系统状态,监测和追踪侵入者等等。 在Linux系统中,有三个主要的日志子系统: 连接时间日志--由多个程序执行,把纪录写入到/var/log/wtmp和/var/run/utmp,login等程序更新wt
日志管理方法及系统
baidu_24932821的博客
01-16 2万+
摘要 本发明涉及应用系统日志管理技术领域,提供了一种日志管理方法和系统,所述方法包括如下步骤:S1:初始化系统业务功能列表和业务功能方法列表;S2:将业务操作中的具体操作信息与系统日志表和历史数据日志表直接相关联;S4:根据业务操作自动记录日志信息。本发明从整体考虑整个应用系统的日志信息与业务操作挂接,用户在运行时可以根据当前的需要,选择某业务操作是否需要记录日志,并且在业务操作界面能即时将
一个监控服务器上所有用户操作并将记录写入日志文件的脚本实现
逆风水手的博客
04-20 754
运行脚本后,它会一直在后台运行,监控服务器上的用户操作并将记录写入日志文件。你可以通过查看日志文件来了解服务器上的用户操作记录。在循环中,我们使用正则表达式来解析日志记录中的用户名、命令和时间戳,并将记录写入日志文件中。工具可以记录系统上用户的每一个操作,包括命令执行、文件访问、用户登录等等。要使用该脚本,只需要将其保存到一个文本文件中,例如。监控,并将记录写入日志文件。在脚本中,我们首先设置了日志文件路径。可以使用 Linux 系统自带的。工具来监控服务器上的用户操作。
linux实现未登录用户的查询代码,Linux查看/管理当前登录用户用户操作历史记录...
weixin_36016360的博客
04-28 452
一、查看管理当前登录用户1、使用w命令查看登录用户正在使用的进程信息,w命令用于显示已经登录系统的用户的名称,以及他们正在做的事。该命令所使用的信息来源于/var/run/utmp文件。w命令输出的信息包括:用户名称用户的机器名称或tty号远程主机地址用户登录系统的时间空闲时间(作用不大)附加到tty(终端)的进程所用的时间(JCPU时间)当前进程所用时间(PCPU时间)用户当前正在使用的命令w...
Linux日志管理与rsyslog、logrotate详解
"这篇文档主要介绍了Linux系统的日志管理和轮转,包括rsyslog系统日志管理和logrotate日志轮转工具的使用。" 在Linux系统中,日志管理是维护系统稳定性和安全性的重要环节。rsyslog是系统内置的日志收集和分发服务...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值