本文介绍了一种在Linux系统中记录用户登录信息和执行命令的方法,通过修改启动脚本实现命令记录,并使用云志进行文件监控。
为了服务器的安全,以及避免日常运维中的一些误操作,我们经常
1. 在linux的启动脚本里加入: vim /etc/profile
| if ! test -z "$BASH_EXECUTION_STRING" ; then echo "===== $(date "+%F %T") $USER nologin cmd: $BASH_EXECUTION_STRING" >>/var/log/command.log elif shopt -q login_shell ; then printf "====== $(date "+%F %T") new login the last cmd: ">>/var/log/command.log else printf "====== $(date "+%F %T") su the last cmd: ">>/var/log/command.log fi export HISTTIMEFORMAT="%F %T $USER ${SSH_TTY:5} ${SSH_CLIENT%% *} " export PROMPT_COMMAND="history 1|tail -1|sed 's/^[ ]\+[0-9]\+ //'>> /var/log/command.log" |
做完上面一步,用户登录系统时的操作,都会记录在/var/log/command.log文件当中。
其格式为:
| ====== 2015-07-04 13:52:42 new login the last cmd: 2015-06-27 10:44:52 root pts/0 124.133.7.42 df -h 2015-07-04 13:52:50 root pts/0 124.133.7.42 vi /etc/profile |
第一行为用户登录的信息。
第二行用户执行的操作。包含时间、用户名、终端类型、IP、以及命令的实际内容。
2. 注册云志的用户。https://antrol.io
3. 执行配置“Linux”文件监控。
扫一扫
1241
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
