linux日志服务器审计客户端history记录

最新推荐文章于 2024-07-09 07:00:00 发布
最新推荐文章于 2024-07-09 07:00:00 发布
阅读量6.4k 收藏 8
点赞数 6
分类专栏: Linux管理 文章标签: 日志服务器 rsyslog logger linux日志审计 记录history
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yanggd1987/article/details/70255179
版权

需求

  将每台服务器上的每个用户执行的命令、执行时间、登录时间、主机ip、当前切换用户等信息保存到本地并实时传输至日志服务器进行异地保存。

IPhostname角色
10.10.99.1test1rsyslog-server
10.10.99.2test2rsyslog-client

工具及服务

1.logger
logger是一个shell接口,可以通过该接口使用rsyslog的日志模块。

usage: logger [-is] [-f file] [-p pri] [-t tag] [-u socket] [ message ... ]
-i 逐行记录每一次logger的进程id
-f file记录特定的文件
-p 输入消息的特定优先级,默认是'user.notice'
-t tag为每行信息打上特定的标签
-u 以特定的socker代替内嵌系统常规工作

2.rsyslog日志服务器
rsyslog是syslog的加强版,可以用作客户端及服务器,我们可以使用local0~local7来自定义设备传输至rsyslog。

3.PROMPT_COMMAND
Linux系统的环境变量PROMPTCOMMAND的内容会在bash提示符显示之前被执行。该环境变量的默认值是 history -a 功能是将目前新增的history追加到histfiles 中,默认写入隐藏文件~/.bashhistory中

实现

一、配置rsyslog日志服务器

vim /etc/rsyslog.conf
#添加以下几行

#启动udp端口也可以是tcp端口
$ModLoad imudp
$UDPServerRun 514
#设置白名单
$AllowedSender UDP, 192.168.3.0/24, 10.0.0.0/8
#配置模板,以客户端ip为目录,以日期命名文件
$template IpTemplate,"/var/log/remote/%FROMHOST-IP%/%$YEAR%-%$MONTH%-%$DAY%.log"
#把非本地传输的日志按照指定的模板存放
:fromhost-ip, !isequal, "127.0.0.1" ?IpTemplate
# & 表示已经匹配处理的内容,~ 表示不再进行其他处理
& ~

#重启服务
service rsyslog restart

二、配置rsyslog客户端
1.配置PROMP_COMMAND

vim /etc/bashrc
readonly PROMPT_COMMAND='logger -p local3.notice -t bash "$(ifconfig | grep -E "eth|em" -A 1 | grep "10.10" | grep -oP "(?<=addr:)[\d\.]+")  $(who am i |awk "{print \$1\" \"\$2\" \"\$3\" \"\$4\" \"\$5}") [`pwd`] currentuser=$(whoami) command=$(history 1 | { read x cmd; echo "$cmd"; })"'

source /etc/bashrc

其中:
local3.notice 使我们自定义的设备,用于rsyslog调用;
bash 是我们为每行打印的信息打印的tag;
ifconfig | grep -E “eth|em” -A 1 | grep “10.10” | grep -oP “(?<=addr:)[\d.]+用于获取我们服务器的ip;
who am i |awk “{print $1\” \”$2\” \”$3\” \”$4\” \”$5}”用于获取我们当前用户的登录信息;
pwd用于列出我们当前所在的目录;
whoami用于获取我们当前切换的执行命令的用户,例如我们从test 用户 sudo -i,执行命令的用户为root,但是登录的用户test,方便我们区分;
command 是我们当前用户执行的命令。

注意:
1.我们需要在/etc/bashrc或/etc/profile中添加环境变量,用于所有用户。
2.export PROMPT_COMMAND 如果将PROMPT_COMMAND导出到用户工作区,那么对于有经验的用户就可以做赋值操作 export PROMPT_COMMAND =“” ,简单的语法就会导致记录功能当前session端不可用,所以PROMPT_COMMAND必须设置成只读的属性,readonly PROMPT_COMMAND

2.配置rsyslog客户端

vim /etc/rsyslog.conf
#添加如下行
#添加local3.none
*.info;mail.none;authpriv.none;cron.none;local3.none                /var/log/messages
#保存到本地的文件
local3.notice /var/log/audit.log
#远程日志服务器
local3.notice @10.10.99.1

#重启
service rsyslog restart

其中:
1.local3.notice 是在logger中定义的设备,rsyslog调用并将打印信息输出至指定文件。
2.添加local3.none是避免日志写入/var/log/messages

3.配置轮转日志

vim /etc/logrotate.d/rsyslog
/var/log/audit.log{
    daily
    rotate 4
    missingok
    notifempty
    nocompress
    create
    dateext
    sharedscripts
    postrotate
        /bin/kill -HUP `cat /var/run/syslogd.pid 2> /dev/null` 2> /dev/null || true
    endscript
}

#强制轮转
logrotate -vf /etc/logrotate.d/rsyslog

ls /var/log|grep audit
audit.log  audit.log-20170420

测试

1.rsyslog客户端

[test@test2 ~]$ ls
test  test.sh
[test@test2 ~]$ cat test.sh
[test@test2 ~]$ sudo -i
[root@test2 ~]$ vim /var/log/audit.log
#查看日志文件
Apr 20 11:35:31 test2 bash: 10.10.99.2  test pts/1 2017-04-20 08:20 (10.11.2.102) [/home/test] currentuser=test command=ls
Apr 20 11:36:13 test2 bash: 10.10.99.2  test pts/1 2017-04-20 08:20 (10.11.2.102) [/home/test] currentuser=test command=cat test.sh
Apr 20 11:36:55 test2 bash: 10.10.99.2  test pts/1 2017-04-20 08:20 (10.11.2.102) [/home/test] currentuser=test command=vim /var/log/audit.log
Apr 20 11:36:58 tset2 bash: 10.10.99.2  test pts/1 2017-04-20 08:20 (10.11.2.102) [/root] currentuser=root command=exit
Apr 20 11:36:58 tset2 bash: 10.10.99.2  test pts/1 2017-04-20 08:20 (10.11.2.102) [/root] currentuser=root command=ls

注意:我们切换成root的记录,登录用户仍为test,但是我们通过currentuser=root得知test用户已经切换成root了

2.rsyslog服务器

查看从客户端传过来的日志目录

[test@test1 remote]# tree /var/log/remote/
/var/log/remote/
└── 10.10.99.2
    └── 2017-04-20.log
[test@test1 remote]# cat 2017-04-20.log
Apr 20 11:35:31 test2 bash: 10.10.99.2  test pts/1 2017-04-20 08:20 (10.11.2.102) [/home/test] currentuser=test command=ls
Apr 20 11:36:13 test2 bash: 10.10.99.2  test pts/1 2017-04-20 08:20 (10.11.2.102) [/home/test] currentuser=test command=cat test.sh
Apr 20 11:36:55 test2 bash: 10.10.99.2  test pts/1 2017-04-20 08:20 (10.11.2.102) [/home/test] currentuser=test command=vim /var/log/audit.log
Apr 20 11:36:58 tset2 bash: 10.10.99.2  test pts/1 2017-04-20 08:20 (10.11.2.102) [/root] currentuser=root command=exit
Apr 20 11:36:58 tset2 bash: 10.10.99.2  test pts/1 2017-04-20 08:20 (10.11.2.102) [/root] currentuser=root command=ls
木讷大叔爱运维
关注
专栏目录
安全日志审计系统服务器,日志审计服务器
weixin_28854171的博客
08-13 1822
日志审计服务器 内容精选换一换本地使用远程桌面连接登录Windows server 2012云服务器,报错:122.112...,服务器频繁掉线,Windows登录进程意外中断。系统资源不足或不可用。服务启动失败。通过VNC方式登录云服务器。单击打开服务管理,选择“管理工具 > 事件查看器 > Windows日志 > 系统 > 筛选当前日志”。事件查看器在“事件级别”负载均...
linux记录history日志文件,Linux 记录history到文件
weixin_35316287的博客
05-04 2272
linux下面,为了保证服务器安全,通常会记录所敲命令的历史记录,但是记录为1000条,并且退出重新登录后,之前的变会没有了,通过编辑/etc/bashrc文件记录历史命令日志文件下面,并已登录来源IP,登录用户名,登录时间命名日志文件名字查看默认的history编辑/etc/bashrc编辑/etc/bashrc文件,加入以下内容,也可以放在/etc/profile文件里# vim /etc...
Linux开启审计操作日记(history格式)
Fadess的博客
07-27 1367
history配置、Linux操作日记配置、Linux记录操作日志
【安全设备】日志审计
最新发布
weixin_54799594的博客
07-09 1503
学习安全设备过程中的小笔记
Linux日志管理之搭建日志服务器
爱吃仡坨的Blog
08-27 2977
两台CentOS虚拟机网络正常两台机器可以ping通最后还缺一个屏幕前的你(搭建日志服务器)进行日志服务器的配置,使客户端把 任意类型的 高于和等于info级别的日志通过TCP的方式 发送到日志服务器中,并配置默认的日志采集格式为 日志时间 主机IP 日志记录目标 日志内容...
Linux 审计日志记录,linux日志服务器审计客户端history记录
weixin_35403151的博客
05-03 1145
需求将每台服务器上的每一个用户执行的命令、执行时间、登陆时间、主机ip、当前切换用户等信息保存到本地并实时传输至日志服务器进行异地保存。nginxIPhostname角色10.10.99.1test1rsyslog-server10.10.99.2test2rsyslog-client工具及服务1.loggerlogger是一个shell接口,能够经过该接口使用rsyslog日志模块。webus...
Linux服务器安全配置基线
weixin_44147924的博客
01-09 1978
在系统的每个地方都要查看一下有没有异常隐含文件(点号是起始字符的,用“ls”命令看不到的文件),因为这些文件可能是隐藏的黑客工具或者其它一些信息(口令破解程序、其它系统的口令文件,等等)。要求:锁定的用户为daemon、bin、sys、nuucp、lpd、imnadm、ipsec、ldap、nobody、snapp、invscout、Adm、lp、sync、shutdown、halt、news、uucp、operator、games等系统默认账户。4、执行:awk -F: '($2 == "!
构建linux审计系统
05-05
2. **配置syslog-ng**:编辑syslog-ng的配置文件,指定监听的端口和接收数据的格式,以便能够正确接收来自客户端history记录。 3. **客户端配置**:在每个需要审计Linux服务器上,安装最新版本的bash,并配置...
Linux系统下的用户审计方法.docx
09-26
Linux系统下的用户审计方法 在 Linux 系统中,用户审计是一种...* 在客户端服务器上修改日志服务器地址 通过本文,读者可以了解 Linux 系统下的用户审计方法,并掌握如何实践用户审计来提高系统的安全性和可靠性。
Linux系统审计与服务安全,打补丁
JReno的博客
05-30 863
什么是审计 基于事先配置号的规则生成日志记录可能发生在系统上的事件 审计不会为系统提供额外的完全防护,但它会发现并记录违反安全策略的人及其对应的行为 审计能够记录日志内容: 日期与事件、事件结果 触发事件的用户 所有认证机制的使用都可以记录,如SSH等 对关键数据文件的修改行为等 审计的案例 监控文件访问 监控系统调用 记录用户运行的命令 审计可以监控网络访问行为 ausearch工...
026 Linux网络配置与日志审计系统
鸡蛋炒鸡蛋
01-14 978
目录:一:网络信息查看与配置1.1:笔记1.2:实验二:日志的管理与应急分析三:日志服务器的建立3.1:笔记3.2:实验 一:网络信息查看与配置 1.1:笔记 1)确认系统的网卡信息和ip地址 ip addr ethernet:0表示第一个网卡,1表示第二个网卡 2)关闭networkmanager服务 service NetworkManager Stop chkconfig --level 345 NetworkManager off 3)临时(重启后恢复原先)配置网络地址 i
LINUX下用户操作记录审计-history
weixin_38920945的博客
09-13 731
export HISTTIMEFORMAT='%F %T' history通常,我们运维管理人员需要知道一台服务器上有哪些用户登录过,在服务器上执行了哪些命令,干了哪些事情,这就要求记录服务器上所用登录用户的操作信息,这对于安全维护来说很有必要。废话不多说了,下面直接记录做法:1234567891011121314151617181920212223242526...
linux日志文件分析和日志备份
10000day
01-02 588
1、/var 保存了日志和邮件等容易变化的文件 2、日志分类 系统日志:messages 登录日志: secure 程序日志 3、日志的管理服务 /etc/rsyslog.conf ###日志服务的配置文件
history记录ip用户时间等,linux操作审计命令审计
qq_40331154的博客
05-24 531
history记录ip用户时间等,linux操作审计命令审计 由于最近服务器经常出现系统文件被改动,但通过history溯源只能查看到对应的命令,不知道具体是谁操作的。于是基于PROMPT_COMMAND实现了一个审计功能。好了废话不多说直接上代码。 cat >> /etc/profile << 'EOF' CMD_LOG_DIR=/cmdlog if [ ! -d $CMD_LOG_DIR ] ; then mkdir -p $CMD_LOG_DIR chm
Linux审计当前登录用户及用户操作历史记录 ERIKXUE 薛忠权
weixin_34390996的博客
06-04 421
一、查看及管理当前登录用户1、使用w命令查看登录用户正在使用的进程信息,w命令用于显示已经登录系统的用户的名称,以及他们正在做的事。该命令所使用的信息来源于/var/run/utmp文件。w命令输出的信息包括:用户名称用户的机器名称或tty号远程主机地址用户登录系统的时间空闲时间(作用不大)附加到tty(终端)的进程所用的时间(JCPU时间)当前进程所用时间(PCPU时间)...
linuxhistory记录时间和把所有命令记录到message
******* ▄︻┻┳═一 *******
09-29 4912
一、让history记录时间export HISTTIMEFORMAT="%F %T `whoami`"输出: 二、把所有命令记录下来到messageexport PROMPT_COMMAND=\ '{ msg=$(history 1 | { read x y ; echo $y ;});\ logger "[euid=$(whoami)]":$(who am i):[`pwd`]" $msg"
linux系统操作审计-让history内容更丰富
weixin_33763244的博客
07-08 213
不知道作为运维的你有没有体会过这样一种情况: 当某天你的服务器发生异常情况,例如某个文件莫名被删除了,或者某个文件被人私自篡改,甚至是发生安全事件等等,这时你的经理找到你要你查个水落石出,于是你想看看history里有没有一些异常的操作,当你在终端里敲完history命令之后,看到的结果,却敌我难分,例如某个rm -rf的操作到底是自己人做的操作还是有人未经同意做得操作呢,此时的结果看不到详细的...
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值