（十一）centos7案例实战——通过系统监控日志定制实现系统安全监控

前言

在实际的生产服务器环境中，我们常常会碰到服务器系统的安全问题，如何监控我们的服务器系统安全也是需要我们考虑的问题，由于网络攻击、恶意操作系统等等情况，我们需要查看这些历史操作，这就需要我们可以通过系统记录这些操作。

正文

①使用vi编辑器，在系统变量文件/etc/profile文件中增加系统监控的配置

#操作日志
#Linux终端开头设置
export PS1='\[\e[33;1m\]\u\[\e[31;1m\]@\[\e[33;1m\]\h \[\e[36;1m\]\w\[\e[34;1m\]\$ \[\e[0m\]'
history
#获取登录用户IP地址
USER_IP=`who -u am i 2>/dev/null | awk '{print $NF}' | sed -e 's/[()]//g'`
if [ "$USER_IP" = "" ]
then
        USER_IP=`hostname`
fi
#创建文件夹存放历史操作文件，-d判断文件夹是否存在
if [ ! -d /opt/history ]
then
        mkdir /opt/history
        chmod 777 /opt/history
fi
#创建操作用户目录
if [ ! -d /opt/history/${LOGNAME} ]
then
        mkdir -p /opt/history/${LOGNAME}
        chmod 300 /opt/history/${LOGNAME}
fi
#历史操作命令记录的条数，默认1000条
export HISTSIZE=10000
#日期
DT=`date +"%Y%m%d_%H%M%S"`
#用于指定存放历史命令文件的位置，默认存放位置~/.bash_history
export HISTFILE="/opt/history/${LOGNAME}/${USER_IP}_history.$DT"
#忽略错误的输出，只输出标准输出
chmod 600 /opt/history/${LOGNAME}/*history* 2>/dev/null

参数变量说明： 

PS1：控制台输出设置

USER_IP：用户IP地址

HISTSIZE：历史操作命令记录的条数，默认1000条

HISTFILE：用于指定存放历史命令文件的位置，默认存放位置~/.bash_history

${LOGNAME}：用户角色

/opt/history/${LOGNAME}：日志存储目录

/opt/history/${LOGNAME}/${USER_IP}_history.$DT：日志文件名字及存储路径

 ②执行以下命令，使环境变量生效

source /etc/profile

③ 使用某个账号登录系统，做一些操作，然后退出系统

④使用root账号登录系统，查看日志文件是否生成，日志以操作用户的ip和操作时间命名

 ⑤查看日志文件，这样就可以确认是哪个用户哪个ip地址在哪个时间做了哪些操作

 ⑥可以根据每次登录系统的时间生成不同时段的日志

结语

通过系统监控日志定制实现系统安全监控的内容到这里就结束了，下期见。。。。。。