linux操作日志审计

#日常工作中服务器很多,也会出现很多问题,但是出现问题怎么查询原因呢?history,last可以查看到一些记录,但是并不完整,也无法准确追溯到谁,在什么时间,执行了什么,这个时候如果服务器被黑,或者被恶作剧,就无法快速准确判断,并定位问题,如果开启了操作日志审计就可以很好的判断问题,同时集中管理归档,增加系统的安全性.

#环境

系统:CentOS Linux release 7.4.1708 (Core)

客户端:172.16.10.25

服务端:172.16.10.181

#工具

1,logger

logger是一个shell接口,可以通过该接口使用rsyslog的日志模块。

2,rsyslog

rsyslog是syslog的加强版,可以用作客户端及服务器,我们可以使用local0~local7来自定义设备传输至rsyslog。

3,prompt_command

Linux系统的环境变量PROMPTCOMMAND的内容会在bash提示符显示之前被执行。该环境变量的默认值是 history -a 功能是将目前新增的history追加到histfiles 中,默认写入隐藏文件~/.bashhistory中

#部署

1,部署rsyslog日志服务器server端

 

2,部署客户端rsyslog配置

1,配置prompt_command

2,配置rsyslog客户端

3,配置轮转日志

#测试

1,客户端

2,服务端

 

此条目发表在linux分类目录。将固定链接加入收藏夹。

发表评论