linux系统命令审计

系统命令审计功能

  以下主要讲解了如何把谁登录的和登录之后,执行了什么命令,全部输入到一个文件中,
并且把这个文件写入到mysql中,再通过php程序调用mysql中的数据来显示


一、在系统的全局变量跟添加如下环境变量   vim /etc/profile

export PROMPT_COMMAND='{ msg=$(history 1 | { read x y; echo $y; });/root/test.sh "{   $(who am i)" `pwd`  "$msg"; }'

上面变量跟提到的test.sh脚本内容如下:vim test.sh
#!/bin/bash
DA=`date +"%Y%m%d"`
echo $@>/root/logg$DA
echo $@>>/root/log$DA
A=`cat /root/logg$DA|awk '{print $2}'`
B=`cat /root/logg$DA|awk '{print $4}'`
C=`cat /root/logg$DA|awk '{print $5}'`
D=`cat /root/logg$DA|awk '{print $6}'`
E=`cat /root/logg$DA|awk '{print $7}'`
F=`cat /root/logg$DA|awk '{print $8}'`
H=`cat /root/logg$DA|awk '{print $9}'`
I=`cat /root/logg$DA|awk '{print $10}'`
mysql -p123 -e "insert into test.aa values('$A','$B $C','$D','$E','$F $H $I')"

2、通过上面的配置之后,就可以把用户登录,执行命令写入到mysql库中。
    在mysql库中需要把相应的表新建立出来,表的字段需要根据上面产生的文件的类型来设置,在这个环境中如下创建:

    create table aa (username varchar(20,time datatime,clientip varchar(20),catalog varchar(40),command varchar(100));


二、下面讲解通过syslog程序,把用户登录、执行过的命令存放到一个文件中,如需要,可以把这个文件通过syslog传入到中央日志服务器

1、在系统的全局变量中添加如下环境变量:  vim /etc/profile

export PROMPT_COMMAND='{ msg=$(history 1 | { read x y; echo $y; });logger "{euid=$(who am i)]":$(who am i):[`pwd`]"$msg"; }'

2、修改一下syslog.conf的配置文件
   添加:      *.info   /var/log/client

   添加上面的之前,需要把上面的:*.info;mail.none;authpriv.none;cron.none                /var/log/messages   的*.info删除

   service syslog restart
3、如果需要,可以把这个文件通过syslog传入到中央日志服务器上。

 

 

 

 

 

以下是从网上截取去的资料,仅供参考:

 

Linux用户操作审计记录方案 
2013-03-02 22:45:26
标签:审计记录方案

 原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。http://jiechao2012.blog.51cto.com/3251753/1143762


【概述】:多人共同使用的服务器权限确实不好管理,误操作等造成故障,无法追究,最好的办法就是将用户操作实时记录到日志,并推送到远程日志服务器上。包括(用户登陆时间,目录,操作命令及时间戳等)。以便事后追查。

 

 环境:centos5.5 X86_64 2台              #备注:把两台主机的防火墙和selinux关闭。在进行操作。

(一)日志服务器IP:10.0.2.164

(二)客户端服务器IP:10.0.2.165



1.先在日志服务器10.0.2.164主机上操作:

 [root@MySQL-B ~]# echo "*.info    /var/log/client" >> /etc/syslog.conf 

#配置日志保存文件,把该文件第一行的*.info 提出来。单独放一行。

 [root@MySQL-B ~]# service syslog restart                                #重启syslog日志服务。

Shutting down kernel logger: [  OK  ]

Shutting down system logger: [  OK  ]

Starting system logger: [  OK  ]

Starting kernel logger: [  OK  ]



[root@MySQL-B ~]# vim /etc/sysconfig/syslog                             #接收客户端写入。

 把SYSLOGD_OPTIONS="-m 0"  更改为:SYSLOGD_OPTIONS="-m 1 -r"





2.然后在客户端服务器10.0.2.165主机上操作:

[root@MySQL-A ~]# vim /etc/profile                                      #添加如下行。

export PROMPT_COMMAND='{ msg=$(history 1 | { read x y; echo $y; });logger "[euid=$(whoami)]":$(who am i):[`pwd`]"$msg"; }'

 [root@MySQL-A ~]# source /etc/profile                                   #重新手动source更新。



2.1.客户机修改日志服务器10.0.2.165主机上操作:



[root@MySQL-A ~]# echo "10.0.2.164 logserver" >> /etc/hosts             #日志服务器地址。



[root@MySQL-A ~]# echo "*.info   @logserver" >> /etc/syslog.conf       

#将info日志推送到日志服务器,把该文件第一行的*.info 提出来。单独放一行。



[root@MySQL-A ~]# /etc/init.d/syslog restart                            #重启syslog日志。

Shutting down kernel logger: [  OK  ]

Shutting down system logger: [  OK  ]

Starting system logger: [  OK  ]

Starting kernel logger: [  OK  ]



 3.测试,在客户端主机上10.0.2.165主机上测试并操作:                       

[root@MySQL-A ~]# test

 [root@MySQL-A ~]# echo "this is a test 1"

this is a test 1

[root@MySQL-A ~]# echo "this is a test 2"

this is a test 2

[root@MySQL-A ~]# echo "this is a test 3"

this is a test 3

[root@MySQL-A ~]# echo "this is a test 4"

this is a test 4

[root@MySQL-A ~]# echo "this is a test 5"

this is a test 5



4.返回日志服务器10.0.2.164主机上看结果,是否记录下来客户端主机执行的操作?

 [root@MySQL-B ~]# cat /var/log/client

 Apr  6 10:37:55 10.0.2.165 root: [euid=root]:root pts/1 Apr 6 10:37 (10.0.2.188):[/root]echo "this is a test1"

Apr  6 10:37:59 10.0.2.165 root: [euid=root]:root pts/1 Apr 6 10:37 (10.0.2.188):[/root]echo "this is a test2"

Apr  6 10:38:01 10.0.2.165 root: [euid=root]:root pts/1 Apr 6 10:37 (10.0.2.188):[/root]echo "this is a test3" 

Apr  6 10:38:04 10.0.2.165 root: [euid=root]:root pts/1 Apr 6 10:37 (10.0.2.188):[/root]echo "this is a test4" 

Apr  6 10:38:06 10.0.2.165 root: [euid=root]:root pts/1 Apr 6 10:37 (10.0.2.188):[/root]echo "this is a test5" 

     #操作时间   #操作IP          #有效用户                     #实际登陆时间       #路径  #使用的命令

 

 


 

你可能感兴趣的:(linux,审计,系统命令)