|
|
原理:将history记录到syslog上面,并实时的传送到了远端的日志集中服务器上。
方法:使用bash4.1的新功能:历史命令保存到syslog!然后使用syslog-ng构建集中型日志服务器收集主机日志。
1 下载bash:
#wget http://ftp.gnu.org/gnu/bash/bash-4.1.tar.gz
#tar zxvf bash-4.1.tar.gz –C /usr/local/bash-4.1
#cd /usr/local/bash-4.1
2 修改参数(根据个人需要,我只保留了pid,uid,sid等,参数请看目录下的shell.c中):
文件bashhist.c大约708行的位置开始,修改成以下一段:
syslog (SYSLOG_FACILITY|SYSLOG_LEVEL,"HISTORY: PID=%d PPID=%d SID=%d User=%s CMD=%s", getpid(),getppid(), getsid(getpid()), current_user.user_name, line);
else
{
strncpy (trunc, line, SYSLOG_MAXLEN);
trunc[SYSLOG_MAXLEN -1]='\0';
syslog (SYSLOG_FACILITY|SYSLOG_LEVEL,"HISTORY (TRUNCATED): PID=%d PPID=%d SID=%d User=%s CMD=%s", getpid(),getppid(), getsid(getpid()), current_user.user_name, trunc);
}
注:ppid:bash父进程号
Sid: 跟踪 su 切换后的进程号
第二段代表log长度超过600后使用的语句
3 去掉config-top.h中define SYSLOG_HISTORY的注释。
结果如下:
#define SYSLOG_HISTORY
4 编译安装
# ./configure --prefix=/usr/local/bash && make && make install
5 修改用户配置:
将用户的bash换成现在的bash4.1
# vi /etc/passwd
dongwm:x:501:501::/home/dongwm:/usr/local/bash/bin/bash
这样日志就会记在/var/log/messages
结果类似这样:
Dec 2317:40:28 server -bash: HISTORY: PID=4089 PPID=4088 SID=4089 User=dongwm CMD=exit
Dec 2317:41:47 server -bash: HISTORY: PID=4282 PPID=4278 SID=4282 User=root CMD=exit
Dec 2317:41:53 server -bash: HISTORY: PID=4321 PPID=4317 SID=4321 User=root CMD=ssh java00
Dec 2317:44:09 server -bash: HISTORY: PID=2152 PPID=2137 SID=2152 User=root CMD=vi Clean_javalog.sh
Dec 2317:45:16 server -bash: HISTORY: PID=2152 PPID=2137 SID=2152 User=root CMD=sh Clean_javalog.sh
Dec 2317:45:30 server -bash: HISTORY: PID=2152 PPID=2137 SID=2152 User=root CMD=cat /dev/shm/cleanJavaLog.log
Dec 2317:46:08 server -bash: HISTORY: PID=2152 PPID=2137 SID=2152 User=root CMD=vi Clean_javalog.sh
Dec 2317:48:54 server -bash: HISTORY: PID=2152 PPID=2137 SID=2152 User=root CMD=cat Clean_javalog.sh
......
在整个环境布置了记录功能,就能方便的查出来谁-在何时,用什么账号,做了什么操作...
6 主机syslog配置(添加日志服务器的地址)
# vi /etc/syslog.conf
在最后添加一列:
*.* @ip地址(你的日志服务器的地址)
|
|
IP卡
狗仔卡
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡