厂站linux监控指南配置包括linux cpu、内存、磁盘、网口、usb拔插、代码程序，基线核查，操作命令

监控配置包括linux cpu、内存、磁盘、网口、usb拔插、代码程序，基线核查，操作命令（这里以redhat6.8为例）

1. Linux syslog配置

vim /etc/rsyslog.conf

厂站抓包验证syslog是否正确配置

2. 利用snmpwalk工具验证验证snmp配置

snmpwalk -v 2c -c public 172.16.140.156 1.3.6.1.2.1.25.2.3.1.6
snmpwalk -v 2c -c public 172.16.140.156 1.3.6.1.2.1.25.2.3.1.5
snmpwalk -v 2c -c public 172.16.140.156 1.3.6.1.2.1.25.3.3.1.2

3. 核查账户免密登入配置
注：Linux创建tsgzAuditor账户，这里赋予root组，核查账户权限按实际分配，仅供参考



将装置公钥写入被监控linux主机tsgzAuditor账户authorized_keys

scp -p /root/.ssh/id_rsa.pub tsgzAuditor@172.16.140.156:/home/tsgzAuditor/.ssh/authorized_keys

厂站验证tsgzAuditor账户免密登入

厂站配置审计用户

4. linux cpu、内存、磁盘采集（snmp周期采集）
   
   
   
   
5. usb接入拔出
   
   
   
   插拔U盘：
   
6. linux网口插拔
   注：（syslog范式化：步骤同usb）
   
7. linux ssh登入成功，登入失败，退出登入
   注：（syslog范式化：步骤同usb）

8. 操作命令
   原理：syslog范式化成功匹配的linux 退出时，以审计用户免密登入被监控主机，按历史命令路径取内容上送Event(目前暂时还有缺陷：待定)
   配置审计用户（已配置免密登入）和操作命令路径
   
9. 基线核查
   V2.3.0.1之前版本：
   先验证基线脚本，可以手动执行基线核查

/isg3000/baseline/script/操作系统/linux/bs_script

perl login.pl linux linux.ex 172.16.140.156 22 ssh tsgzAuditor 123456 0 0/root/.ssh/id_rsa /root/1



重启logd一般，开启程序会执行一次基线核查