本文介绍了使用SLS进行服务器日志审计,通过Logtail采集包括安全日志、登录日志、报警日志等关键日志文件。由于生产环境中缺少/user/log/history文件,作者分享了一段配置脚本,用于自动记录用户操作日志到/var/log/history目录,并设置了权限和日志文件格式。该设置有助于完善系统审计和日志管理。
前言
我这里计划用SLS做服务器日志审计,安装Logtail后通过 [分隔符-文本] 的方式,采集服务器各种相关日志,大概需要以下内容(目录可能是错的,这个是做等保的评测的兄弟发过来的)
/var/log/secure安全日志
/var/log/wtmp登录日志
/var/log/message报警日志
/var/log/boot.log启动日志
/var/log/maillog邮件日志
/var/log/cron crontab服务日志
/var/log/syslog事件记录监控程序日志
/var/log/history 用户操作日志
发现我们生产服务器并没有history这个文件,于是网上搜了下,做个转载/记录
正文
修改 /etc/profile
在最底部添加如下内容
#set user history
history
USER=`whoami`
USER_IP=`who -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'`
if [ "$USER_IP" = "" ]; then
USER_IP=`hostname`
fi
if [ ! -d /var/log/history ]; then
mkdir /var/log/history
chmod 777 /var/log/history
fi
if [ ! -d /var/log/history/${LOGNAME} ]; then
mkdir /var/log/history/${LOGNAME}
chown -R ${LOGNAME}:${LOGNAME} /var/log/history/${LOGNAME}
chmod 770 /var/log/history/${LOGNAME}
fi
export HISTSIZE=4096
DT=`date +"%Y%m%d_%H:%M:%S"`
export HISTFILE="/var/log/history/${LOGNAME}/${USER}@${USER_IP}_$DT.log"
chmod 660 /var/log/history/${LOGNAME}/*history* 2>/dev/null
查阅日志记录
感觉很OK
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
