1.2.6的audit
/var/log/audit/audit.log
2.sa / lastcomm /accton
/var/account/pacct 不過預設把這個放在/var/log下面好切分
3.用script -f 來記錄
有時候我們需要記錄linux使用者的操作記錄用於審計,因此就要避免使用者可以自行清除操作日誌,乙個簡單的方式是使用script功能。
首先在使用者的profile檔案中開啟記錄功能:
[banping@linux ~]$ cd /home/banping/
[banping@linux ~]$ vi .bash_profile
# write log
exec /usr/bin/script -a -f -q /tmp/test/script-`date +%y%m%d%k%m`.lst
這行指令碼的意思是在/tmp/test目錄下以時間為檔名來記錄操作資訊,由於是寫在了.bash_profile檔案中,使用者登入到linux 系統的時候就會觸發執行。
然後我們在/tmp下建立test目錄存放操作日誌資訊即可:
[banping@linux tmp]# mkdir test
這樣就實現了記錄的功能,而要防止使用者自行修改,我們可以設定這些檔案只能被附加,不能被修改或刪除:
[root@linux banping]# chattr +a .bash_profile
[root@linux tmp]# chattr +a -r test
這樣登入使用者就無法修改這些資訊了,以下是乙個簡單的測試:
[root@tomcat tmp]# cd test
[root@tomcat test]# touch 1.txt
[root@tomcat test]# rm 1.txt
rm: remove regular empty file `1.txt'? y
rm: cannot remove `1.txt': operation not permitted
[root@tomcat test]# cd ..
[root@tomcat tmp]# chattr -a -r test
[root@tomcat tmp]# cd test
[root@tomcat test]# rm 1.txt
rm: remove regular empty file `1.txt'? y
linux 審計功能
方法 一 vim var log audit audit.logcomm 引數說明 time 審計時間。name 審計物件 cwd 當前路徑 syscall 相關的系統呼叫 auid 審計使用者id uid和 gid 訪問檔案的使用者id和使用者組id comm 使用者訪問檔案的命令 exe 上面命...
Linux審計功能
目錄 1 簡介 2 審計記錄日誌內容 3 應用 4 審計軟體 配置檔案 etc audit auditd.conf 日誌檔案 log file var log audit audit.log auditctl命令控制審計系統並設定規則決定哪些行為記錄日誌 定義檔案系統的審計規則 設定審計規則對pas...
Linux 日誌審計
工作中我們常常遇到,有的員工不安於被分配的許可權,老是想sudo echo ziji usr bin visudo nopasswd all來進行提權,造成誤刪了資料庫某條重要的資料,或者執行了一條命令對線上生產造成了嚴重的影響,部門老大又苦於找不到造成這種現象的操作者,cto對你們部門直接扣除績效...