syslog记录history历史记录

将history记录到syslog上面

方法:使用bash4.1的新功能:历史命令保存到syslog

1、下载bash:

  
  
  
  
  1. wget http://ftp.gnu.org/gnu/bash/bash-4.1.tar.gz
  2. tar zxvf bash-4.1.tar.gz –C /tmp/bash-4.1  
  3. cd /tmp/bash-4.1  

2、修改源码

(根据个人需要,我只保留了pid,uid,sid等,参数请看目录下的shell.c中):
      文件bashhist.c大约708行的位置开始,修改成以下一段:

(根据个人需要,我只保留了pid,uid,sid等,参数请看目录下的shell.c中):
     文件bashhist.c大约708行的位置开始,修改成以下一段:

 
   
   
   
   
  1. syslog (SYSLOG_FACILITY|SYSLOG_LEVEL, "HISTORY: PID=%d PPID=%d SID=%d  User=%s CMD=%s", getpid(), getppid(), getsid(getpid()),  current_user.user_name, line); 
  2. else 
  3. strncpy (trunc, line, SYSLOG_MAXLEN); 
  4. trunc[SYSLOG_MAXLEN - 1] = '\0'; 
  5. syslog (SYSLOG_FACILITY|SYSLOG_LEVEL, "HISTORY (TRUNCATED): PID=%d  PPID=%d SID=%d User=%s CMD=%s", getpid(), getppid(), getsid(getpid()),  current_user.user_name, trunc); 

注:
ppid:跟踪sh切换后的用户
Sid: 跟踪 su 切换后的用户
第二段代表log长度超过600后使用的语句

修改config-top.h文件

    
    
    
    
  1. /*#define SYSLOG_HISTORY*/ 
  2. 修改为 
  3. #define SYSLOG_HISTORY 
编译安装
    
    
    
    
  1. # ./configure --prefix=/usr/local/bash4.1&& make && make install 
修改用户配置:
将用户的bash换成现在的bash4.1
# vi /etc/passwd
root:x:0:0:root:/root:/usr/local/bash4/bin/bash
这样日志就会记在/var/log/messages
    
    
    
    
  1. Aug 24 11:44:48 mysql -bash: HISTORY: PID=31830 PPID=31796 SID=31830 User=root CMD=clear 
  2. Aug 24 11:44:48 mysql -bash: HISTORY: PID=31830 PPID=31796 SID=31830 User=root CMD=ls 
  3. Aug 24 11:44:49 mysql -bash: HISTORY: PID=31830 PPID=31796 SID=31830 User=root CMD=clear 
  4. Aug 24 11:44:50 mysql -bash: HISTORY: PID=31830 PPID=31796 SID=31830 User=root CMD=w 



你可能感兴趣的:(syslog,history记录)