syslog记录history历史

最新推荐文章于 2025-12-03 20:03:36 发布
转载 最新推荐文章于 2025-12-03 20:03:36 发布 · 1.4k 阅读 · 1
文章标签:

#bash #cmd #服务器 #user #server #c

将history记录到syslog上面,并实时的传送到了远端的日志集中服务器上。

方法:使用bash4.1的新功能:历史命令保存到syslog!然后使用syslog-ng构建集中型日志服务器收集主机日志。

1、下载bash:

#wget http://ftp.gnu.org/gnu/bash/bash-4.1.tar.gz
#tar zxvf bash-4.1.tar.gz –C /tmp/bash-4.1
#cd /tmp/bash-4.1

2、修改源码

(根据个人需要,我只保留了pid,uid,sid等,参数请看目录下的shell.c中):
文件bashhist.c大约708行的位置开始,修改成以下一段:

1syslog (SYSLOG_FACILITY|SYSLOG_LEVEL, "HISTORY: PID=%d PPID=%d SID=%d  User=%s CMD=%s", getpid(), getppid(), getsid(getpid()),  current_user.user_name, line);
2else
3{
4strncpy (trunc, line, SYSLOG_MAXLEN);
5trunc[SYSLOG_MAXLEN - 1] = '\0';
6syslog (SYSLOG_FACILITY|SYSLOG_LEVEL, "HISTORY (TRUNCATED): PID=%d  PPID=%d SID=%d User=%s CMD=%s", getpid(), getppid(), getsid(getpid()),  current_user.user_name, trunc);
7}

注:
ppid:跟踪sh切换后的用户
Sid: 跟踪 su 切换后的用户
第二段代表log长度超过600后使用的语句
修改config-top.h文件

1/*#define SYSLOG_HISTORY*/
2修改为
3#define SYSLOG_HISTORY

编译安装
# ./configure –prefix=/usr/local/bash_4.1 && make && make install
修改用户配置:
将用户的bash换成现在的bash4.1
# vi /etc/passwd
linkboy:x:501:501::/home/linkboy:/usr/local/bash_4.1/bin/bash
这样日志就会记在/var/log/messages
结果类似这样:

Dec 23 17:40:28 server -bash: HISTORY: PID=4089 PPID=4088 SID=4089 User=linkboy CMD=exit
Dec 23 17:41:47 server -bash: HISTORY: PID=4282 PPID=4278 SID=4282 User=root CMD=exit

……
在整个环境布置了记录功能,就能方便的查出来谁-在何时,用什么账号,做了什么操作…

3、主机syslog配置(添加日志服务器的地址)

# vi /etc/syslog.conf

在最后添加一列:

1*.* @syslog.com
第39章:Shell 历史记录history)详细讲解
yumeiguo的博客
07-24 499
在Linux中,Shell 历史记录history)是一个非常有用的功能,它允许你查看和管理之前执行的命令。这个功能非常有助于提高工作效率,因为你不需要每次都重新输入复杂的命令,只需要通过历史记录轻松调用之前的命令。
【例2145】report history of displayed part 该程序用于显示当前显示零件的历史记录
王牌飞行员_里海的博客
06-19 470
report history of displayed part 该程序用于显示当前显示零件的历史记录》这是一个NX二次开发官方小例子,下面是代码和解析。相较于混乱、未经验证的代码,官方案例能够确保开发者获得准确的开发方法,这些官方示例代码经过严格测试,能够正确地反映出NX软件的功能和API使用方式,有助于开发者系统地掌握NX二次开发技能,提高开发质量和效率。本专栏订阅后是永久阅读的。欢迎一起学习NX二次开发案例,逐步积累宝贵的经验,早日成为行业专家。
syslog记录history 历史记录
weixin_33704234的博客
11-30 395
history记录syslog上面,并实时的传送到了远端的日志集中服务器上。 方法:使用bash4.2的新功能:历史命令保存到syslog!然后使用syslog-ng构建集中型日志服务器收集主机日志。 1、下载bash: #wget http://ftp.gnu.org/gnu/bash/bash-4.2.tar.gz #tar zxvf bash-4.2.tar...
通过syslog记录history历史记录
weixin_33695082的博客
08-29 816
为了完善linux系统审计,记录所有登录到本机人员的操作记录到系统日志,然后上传到日志服务器。步骤1:初始化history的相关参数执行以下命令:echo'#Historyformat exportHISTTIMEFORMAT="%Y-%m-%d%H:%M:%S" shopt-shistappend exportPROMPT_COMMAND="history...
syslog记录history历史记录
weixin_34138139的博客
01-03 286
工作中可能会有无聊的***在你服务器上转悠,***智商都不错,所有离开的时候就会删除history记录。怎么办才能记录下用户的历史记录呢? 原理:将history记录syslog上面,并实时的传送到了远端的日志集中服务器上。 方法:使用bash4.1的新功能:历史命令保存到syslog!然后使用syslog-ng构建集中型日志服务器收集主机日志。 1 下载bash...
history 命令配置
weixin_33946020的博客
12-27 262
2019独角兽企业重金招聘Python工程师标准>>> ...
安全日志配置(保留history日志)-linux服务器
weixin_33713707的博客
09-29 875
linux下可通过history命令查看用户所有的历史操作记录。 在未进行附加配置情况下,history命令只能查看用户历史操作记录,而并不能区分用户以及操作时间。 下面是如何满足这2个功能的配置情况: 方案一:临时查看操作命令及对应操作时间 每次登录系统后,在系统下输入export HISTTIMEFORMAT='%F %T '命令,可查询时间 ...
安全运维之如何将Linux历史命令记录发往远程Rsyslog服务器
weixin_54787877的博客
02-21 568
本文会介绍将Linux history 记录发往远程Rsyslog 服务器的2种方法。 0×01. 方法1,修改bash源码,使其支持将history历史记录发往远程Rsyslog 服务器bash4.1 版本开始,bash开始支持Rsyslog,所以我们需要下载bash4.1以后版本,这里以bash4.4为例 bash源码下载地址: https://ftp.gnu.org/gnu/bash/ 共计需要修改两处源码: 1) 先修改bashhist.c 从源码文件名字也可以看出这个源码文件和linux hi
谁动了我的主机之活用History命令.doc
02-01
3. **修改Bash源码支持syslog记录**: 这一步需要一定的编程基础,但可以提供更高的安全级别。首先,下载Bash的源代码,取消`SYSLOG_HISTORY`定义的注释,然后编译并安装新的Bash版本。新的Bash将把历史记录写入`...
Oracle日志syslog,十、syslog日志与loganalyzer日志管理
weixin_31200621的博客
04-16 914
10.1、rsyslog简介syslog是一个历史悠久的日志系统。几乎所有的UNIX和Linux操作系统都采用syslog进行系统日志的管理和配置。Linux系统内核和许多程序会产生各种错误信息、警告信息和其他的提示信息。syslog可以根据信息的来源以及信息的重要程度将信息保存到不同的日志文件中。在默认的syslog配置下,日志文件通常都保存在/var/log目录下,在Centos6中,sysl...
history配置
weixin_30700977的博客
03-12 681
/etc/profile配置文件中,末尾增加如下参数项: HFILE=`who -m | awk '{print $1}'`readonly HISTFILE=/var/history/$HFILE-$USER-$UID.logreadonly HISTFILESIZE=50000readonly HISTSIZE=10000readonly HISTTIMEFORMAT='%F %T 'rea...
history添加时间点显示、及最常用法
weixin_34390105的博客
09-28 239
在/etc/bashrc文件中添加:HISTFILESIZE=2000HISTSIZE=2000HISTTIMEFORMAT="%Y/%m/%d %H:%M:%S "export HISTTIMEFORMAT保存推出,并且exit退出当前shell,重新进入后:[transfor@mongodb02 ~]$ history 1 2015/09/26 06:57:...
Linux服务器记录并查询历史操作记录
热门推荐
小达哥的博客
04-03 1万+
Linux服务器在使用过程中,经常会有除自己之外的其他人员使用。 一般我们可以用history命令来查看用户的操作记录,但是这个命令不能记录是哪个用户登录操作的,也不能记录详细的操作时间,且不完整;所以误操作而造成重要的数据丢失,就很难查到是谁操作的。 在这里我们通过脚本代码来实现记录所以用户的登录操作日志: 编辑/etc/profile文件: vi /etc/profile 在文件末尾...
关于Syslog中facility字段的解释
weixin_33724659的博客
11-26 5544
Syslog uses the User Datagram Protocol (UDP), port 514, for communication. Being aconnectionless protocol, UDP does not provide acknowledgments. Additionally, at theapplication layer, syslo...
bash和zsh
最新发布
裸睡的鱼
12-03 121
‌:Bash以稳定性和兼容性见长,适合脚本编写和服务器环境;Zsh则以强大的自动补全、主题插件和高度定制性著称,更适合开发者日常使用。‌Bash和‌Zsh是两种流行的Unix shell,主要区别在于‌。
mac系统的环境变量-bash_profile
huan_128的专栏
12-02 106
mac系统和winds系统一样,都需要配置环境变量,个人理解mac系统的环境变量配置为bash_profile;1、为什么jdk配置了两个,为了解决谁的问题呢,我猜有可能是pycharm软件的原因。以下为本人自己电脑的配置,恩,写这个原因是做个记录,我也记不住哈哈哈。
Bash One-Liners 学习精要指南
vortex5的博客
11-30 625
本文系统介绍Bash单行命令的高效用法,涵盖文件操作、字符串处理等核心场景。通过重定向、参数扩展等内置特性实现简洁强大的功能: 文件操作:清空/追加文件、随机读取行、路径解析等 字符串处理:生成序列、拆分/连接字符串、模式替换等 采用Bash原生语法(如${var##*/}提取文件名),减少外部命令依赖 强调正确引用和IFS处理,避免常见陷阱
如何在 Bash 中循环遍历文件内容 ?
xiaochong0302的博客
12-03 212
Bash (Bourne-Again SHell),是一种流行的命令行 SHell 脚本语言,因其简单和易用而被广泛使用。最常见的任务之一,可能需要使用 Bash 遍历文件的内容。
dmesg历史记录
08-12
<think>首先,用户的问题是关于Linux dmesg命令的,具体是:"我想查看或分析内核环形缓冲区的历史记录 请问Linux dmesg 命令查看内核日志历史记录"。用户想使用dmesg命令来查看或分析内核环形缓冲区的历史记录。 根据系统级指令: - 所有行内数学表达式必须使用$...$格式。 - 独立公式必须使用$$...$$格式并单独成段。 - 使用中文回答。 - 生成相关问题。 - 回答中引用的段落末尾自然地添加引用标识。 - 回答结构清晰,帮助用户逐步解决问题。 参考提供的引用: - 引用[1]: 关于dmesg命令的基本信息,包括权限问题。 - 引用[2]: dmesg日志存储在/var/log/dmesg文件中,记录系统启动过程中的内核日志。 - 引用[3]: dmesg访问内核环形缓冲区,通过读取/dev/kmsg或/proc/kmsg。 用户的核心需求是查看历史记录。dmesg默认显示当前缓冲区的内容,但缓冲区是循环的,新日志会覆盖旧的。所以,要查看历史记录,可能需要结合其他方法。 关键点: - dmesg命令本身显示当前内核环形缓冲区的内容。 - 要查看历史记录,可以查看/var/log/dmesg文件,因为系统通常会将启动日志保存到这个文件。 - 也可以使用其他工具如journalctl或检查/var/log/syslog。 基于引用: - 引用[2]提到:日志文件/var/log/dmesg中记录了系统启动过程中的内核日志信息。 - 引用[3]提到:dmesg通过读取/dev/kmsg或/proc/kmsg访问缓冲区。 所以,回答应该包括: 1. 解释dmesg命令的基本用法。 2. 如何查看历史记录:建议查看/var/log/dmesg文件。 3. 可能使用其他方法如保存dmesg输出或结合journalctl。 逐步回答: - 介绍dmesg命令。 - 解释如何查看当前缓冲区。 - 讨论如何访问历史记录。 - 提供命令示例。 - 生成相关问题。 结构回答: - 清晰的结构:例如,使用标题或分段。 - 使用中文。 - 在末尾添加引用标识。 生成相关问题: - 在回答结束后,添加"§§相关问题§§"部分,列出相关问题。 确保回答真实可靠: - 基于标准Linux知识。 - 使用提供的引用作为支持。 最终回答结构: 1. 解释dmesg命令。 2. 如何查看当前内核日志。 3. 如何查看历史记录。 4. 命令示例。 5. 相关问题。</think>### Linux dmesg 命令查看内核日志历史记录 在Linux系统中,`dmesg`命令用于访问内核环形缓冲区(ring buffer),该缓冲区记录内核启动和运行过程中的事件,如硬件检测、驱动初始化和错误消息。由于缓冲区是循环的(大小固定,新日志会覆盖旧内容),直接使用`dmesg`只能显示当前缓冲区中的最新日志。要查看或分析历史记录,需要结合其他方法。下面我将逐步解释如何操作,确保您能有效获取所需信息。 #### 1. **理解内核环形缓冲区** - 内核环形缓冲区是内存中的一块区域,用于临时存储内核日志。新日志会覆盖旧日志,因此默认情况下`dmesg`只显示当前内容,无法回溯太早的历史[^3]。 - 系统启动时,内核日志通常会被保存到文件(如`/var/log/dmesg`),这提供了持久化的历史记录[^2]。 #### 2. **查看当前内核日志(实时内容)** 使用`dmesg`命令直接输出当前缓冲区内容: ```bash dmesg ``` - 添加选项可过滤或格式化输出: - `dmesg -T`:显示人类可读的时间戳(需系统支持)。 - `dmesg --level=err`:仅显示错误级别日志。 - `dmesg | grep "error"`:搜索包含"error"的日志行。 #### 3. **查看和分析历史记录** 由于`dmesg`缓冲区易被覆盖,历史记录需通过持久化日志文件获取: - **方法1: 查看系统启动日志文件** 系统在启动过程中会将内核日志保存到`/var/log/dmesg`文件中: ```bash cat /var/log/dmesg # 查看完整启动日志 less /var/log/dmesg # 分页查看,支持搜索(按`/`键输入关键词) ``` 此文件记录了从开机开始的内核事件,适合分析启动问题或早期错误[^2]。 - **方法2: 使用`dmesg`保存当前日志到文件** 定期运行`dmesg`并将输出重定向到文件,可创建自定义历史记录: ```bash dmesg > dmesg_history.txt # 保存当前缓冲区到文件 ``` 您可以将此命令添加到定时任务(cron job)中,例如每小时运行一次,以积累历史数据。 - **方法3: 结合`journalctl`查看系统日志** `journalctl`工具可访问更全面的系统日志(包括内核日志),支持时间范围查询: ```bash journalctl -k # 仅显示内核日志 journalctl -k --since "2023-10-01" --until "2023-10-05" # 按时间范围过滤 ``` 与`dmesg`相比,`journalctl`提供更持久的历史记录,但依赖于系统日志服务(如`systemd-journald`)是否启用[^1]。 #### 4. **常见问题与技巧** - **权限问题**:如果命令提示权限不足,使用`sudo`: ```bash sudo dmesg # 需要管理员权限 sudo chmod +r /var/log/dmesg # 确保日志文件可读 ``` - **缓冲区大小限制**:默认缓冲区较小(通常几十KB),可通过内核参数调整(如`log_buf_len=1M`),但这需要重启系统且不保证长期历史。 - **实时监控**:使用`watch`命令动态跟踪日志变化: ```bash watch -n 5 "dmesg | tail -n 20" # 每5秒刷新显示最后20行 ``` #### 5. **总结建议** - 对于实时查看:直接用`dmesg`。 - 对于历史分析:优先检查`/var/log/dmesg`或使用`journalctl`。 - 如果日志被覆盖且`/var/log/dmesg`不完整,考虑设置日志轮转(logrotate)或使用外部监控工具。 通过上述方法,您可以有效查看和分析内核日志的历史记录。如果您遇到具体错误或需要更深入的调试,请提供更多细节。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值