一般企業生產環境都會用跳板機把操作日誌記錄下來,不過有些公司內部的測試機可以用本機的sudo日誌審計功能將執行的sudo命令儲存日誌。
為什麼要使用sudo審計,因為可以通過sudo授權給普通使用者執行管理員許可權的命令,管理員許可權的命令可能會破壞系統,普通使用者甚至可以通過root授權的sudo許可權提權,我們要監控這些使用者使用sudo的操作記錄。
(普通使用者環境下,使用sudo -l檢視自己的sudo許可權。)
1、安裝環境
確保伺服器安裝的有rsyslog服務,並且配置的有開機自啟動。
rpm -qa | grep rsyslog
systemctl enable rsyslog.service
2、配置/etc/sudoers
使用visudo命令配置/etc/sudoers檔案,尾部追加一行:
defaults logfile=/var/log/sudo.log
(必須使用visudo命令編輯,這個命令會檢測你的語法,會提示你配置資訊是否有錯誤,甚至你的命令別名、使用者別名沒有使用都會發出提醒)
3、編輯日誌配置檔案/etc/rsyslog.conf (可以不配置)
在/etc/rsyslog.conf中新增一行
local2.debug /var/log/sudo.log
4、重啟日誌服務
systemctl restart rsyslog.service
5、測試
切換到其他使用者,使用sudo命令,測試命令內容是否記錄在/var/log/sudo.log中。
可以看出,不管是普通使用者還是root使用者,只要執行sudo命令,都會記錄在/var/log/sudo.log日誌檔案中。
日誌審計系統 事件日誌審計 syslog審計
日誌審計系統 事件日誌審計 syslog審計 任何it機構中的windows機器每天都會生成巨量日誌資料。這些日誌包含可幫助您的有用資訊 獲取位於各個windows事件日誌嚴重性級別的所有網路活動的概述。識別網路異常和潛在的安全漏洞。識別多次登入失敗 嘗試訪問未經授權的站點或檔案等等事件。跟蹤任何事...
mysql審計日誌檔案 MySQL審計日誌處理指令碼
1 mysql配置檔案 cat mysql.cfg 3306 ip x.user root pass xx port 3306 auditlog home mysql data mysql audit.json socket tmp mysql.sock 2 函式檔案,主要是日誌函式 mysql t...
centos 日誌審計 生產環境日誌審計
日誌審計,就是記錄所有系統和相關使用者行為的資訊,並且可以自動分析,處理。在中小企業環境中,一般都是在單個伺服器上記錄日誌,而大型企業的生產環境當中,會有專門的日誌伺服器乃至集群。本文通過sudo配合centos自帶的rsyslog syslog 服務,進行日誌審計。專案描述 1.許可權控制後進一步...