Linux主机操作命令捕获

添加环境变量脚本

编辑环境变量配置文件

vi /etc/profile

添加如下内容

#给history添加操作记录时间，规避下述部分问题
export HISTTIMEFORMAT=":%F %T:"

#将history最后一条记录以syslog发送给rsyslog服务
export PROMPT_COMMAND='{ msg=$(history 1 | { read x y; echo $y; });logger "[euid=$(whoami)]":$(who am i):[`pwd`]"$msg";}'

使配置生效

source /etc/profile

存在问题

1、终端登录时，输入密码后，敲击回车，操作记录会回显该账号所在session中history最后一条命令。（可通过操作命令记录时间和syslog发送时间以及登录操作系统上下文登录记录来判断是否为敲击回车操作）

2、su - 帐号 输入密码后，操作记录会回显切换帐号后的session中history中最后一条命令。（可通过操作命令记录时间和syslog发送时间以及su操作上下文记录来判断是否为敲击回车操作）

3、su - 帐号 输入密码后，输入命令后，最后输入exit时，操作命令会回显su - 帐号记录，但exit命令不会捕获。

4、su - 帐号 输入密码后，输入命令后，关闭窗口，操作命令su - 帐号操作记录丢失。