vim /etc/bashrc
在結尾新增
export prompt_command=');logger "[euid=$(whoami)]":$(who am i):[`pwd`] "$msg"; }'!!! 如果使用的是微軟edge瀏覽器,注意不要複製,有格式問題。推薦使用firefox、chrome等瀏覽器檢視。
# /etc/bashrc
# system wide functions and aliases
# environment stuff goes in /etc/profile
顯然,/etc/bashrc針對bash進行別名和函式的設定;/etc/profile針對系統進行環境變數的設定。
prompt_command是/etc/bashrc中的乙個特殊變數,prompt_command='命令',該命令會在bash提示符#或者$出現前執行,簡單說就是每敲一次回車,這個命令就執行一遍,所以可以拿來做操作審計。
{}定義了乙個**塊,也叫內部組,實際上建立了乙個匿名函式。與小括號中的命令不同,大括號內的命令不會新開乙個子shell執行,即指令碼餘下部分仍可使用括號內變數。括號內的命令間用分號隔開,最後乙個也必須有分號。{}的第乙個命令和左括號之間必須要有乙個空格。習慣兩邊都加上空格。
logger是乙個記錄日誌的命令,預設記錄在/var/log/messages;
從左到右分別是:
月 日 時分秒 主機名 程序名 pid 日誌內容
msg=$(history 1 | );logger "[euid=$(whoami)]":$(who am i):[`pwd`] "$msg";
首先獲取最近的一條命令的歷史記錄即上一條命令
、read 從標準輸入讀取並將1001賦給x,將history 1賦給y;然後列印y的值並賦給變數msg
logger命令後面接日誌內容
$(whoami)表示命令的執行者是誰
$(who am i)表示登入者是誰以及終端 時間 ip
`pwd` 表示當前目錄
$msg 表示前面記錄下來的操作
python審計運用 Python操作審計策略
開始時,直接使用secedit audit策略 配置檔案時,總是無法 進行比對成功,無論使用find函式還是使用正則匹配。後來發現將匯出的檔案換成其他的檔案可以實現目標。與 暱稱已改 的交流中,想到自己應該是出錯在檔案型別。對於檔案型別的處理則花費了自己兩天的時間。open 函式中直接使用 u r ...
auditd審計syscall操作
1.linux核心需要開啟config audit和config auditsyscall選項,系統啟動時會執行核心任務kauditd 2.使用者態通過安裝auditd安裝包,啟動auditd服務來接收核心模組的審計日誌資訊,記錄到 var log audit audit.log檔案中 audit可...
配置狀態報告和配置審計
配置狀態報告 提供配置項的狀態資訊,以反映專案的進展情況,同時可以從中根據配置項的操作記錄對開發團隊的工作關係作一定的分析。1.報告應定期進行,2.使用case工具生成,保證客觀性 3.主要內容 1 變更請求列表 2 基線庫狀態 3 release資訊 4 備份資訊 5 scm工具狀態 6 其它應予...