linux审计日志发送,菜鸟学习之linux用户行为日志审计方案
今天学习了了sudo日志审计,专门对使用sudo命令系统的用户记录其执行的相关命令信息
说明:所谓sudo命令日志审计,不记录普通用户操作,而是记录执行sudo命令的用户操作
1、安装sudo命令,syslog服务[root@qzj ~]# rpm -qa |egrep "sudo|syslog"
rsyslog-5.8.10-10.el6_6.x86_64
sudo-1.8.6p3-29.el6_9.x86_64
如果没有安装则执行下面的安装命令;[root@qzj ~]# yum install sudo rsyslog -y
2、配置/etc/sudoers
增加配置"Defaults logfile=/var/log/sudo.log"到/etc/sudoers中[root@qzj ~]# echo "Defaults logfile=/var/log/sudo.log" >>/etc/sudoers #追加到文件结尾
[root@qzj ~]# tail -1 /etc/sudoers
Defaults logfile=/var/log/sudo.log
[root@qzj ~]# visudo -c #检查sudoers文件语法
/etc/sudoers: parsed OK
[root@qzj ~]#
注:下面的3,4可以不执行,直接切到普通用户,然后查看/var/log/sudo.log有无操作
3、配置系统日志/etc/rsyslog.conf
增加配置local2.debug到/etc/rsyslog.conf中[root@qzj ~]# echo "ocal2.debug /var/log/sudo.log" >>/etc/rsyslog.conf
[root@qzj ~]# tail -1 /etc/rsyslog.conf
ocal2.debug /var/log/sudo.log
4、重启syslog内核日志记录器[root@qzj ~]# /etc/init.d/rsyslog restart
Shutting down system logger: [ OK ]
Starting system logger: [ OK ]
此时,会自动建立一个/var/log/sudo.log 文件(日志中配置的名字)并用文件权限为600,所有者和组均为root
5、测试sudo日志审计结果
本文以efg用户为例:[root@qzj ~]# cat /etc/sudoers |grep efg #查看suoders配置文件里efg用户的权限
efg ALL=(ALL) /bin/rm,/bin/userdel,/bin/touch
[efg@qzj ~]$ sudo mkdir kgk
[sudo] password for efg:
Sorry, user efg is not allowed to execute '/bin/mkdir kgk' as root on qzj.
#提示没有权限创建kgk文件
[efg@qzj ~]$ sudo touch 123kkk
[sudo] password for efg:
[efg@qzj ~]$ ls
12 123kdk 12kgdk gxl
6、查看日志统计结果:[root@qzj ~]# cat /var/log/sudo.log
Oct 13 18:48:48 : efg : command not allowed ; TTY=pts/2 ; PWD=/home/efg ;
USER=root ; COMMAND=/bin/mkdir kgk
Oct 13 18:49:06 : efg : TTY=pts/2 ; PWD=/home/efg ; USER=root ;
COMMAND=/bin/touch 123kkk
[efg@qzj ~]$ ls #查看刚创建的文件
123kkk
所谓日志审计,就是记录所有系统及相关用户行为的信息、并且可以自动分析、处理、展示(包括文本或者录像)
日志集中管理目前可以通过scp+定时任务任务来推到日志服务器上116.196.68.28上/root/aildata/uploadlog[root@qzj ~]# scp -r /var/log/sudo.log root@116.196.68.28:/root/alidata/uploadlog
root@116.196.68.28's password: #此位置输入远程主机密码
sudo.log 100% 832 0.8KB/s 00:00
日志收集解决方案:scribe,flume,stom,logstash
linux审计日志发送,菜鸟学习之linux用户行为日志审计方案相关推荐
- 怎样学习Linux运维云计算,linux运维云计算课程学习,Linux云计算面试时遇到的问题...
原标题:linux运维云计算课程学习,Linux云计算面试时遇到的问题 Linux命令行,以及用户使用Linux命令进行Linux shell交互,是Linux最吸引人的地方,也是面试中最普遍的话题之 ...
- 菜鸟学习之linux用户行为日志审计方案
今天学习了了sudo日志审计,专门对使用sudo命令系统的用户记录其执行的相关命令信息 说明:所谓sudo命令日志审计,不记录普通用户操作,而是记录执行sudo命令的用户操作 1.安装sudo命令,s ...
- 日志库EasyLogging++学习系列(10)—— 日志文件滚动
在很多应用场合,我们是需要实现日志文件滚动的,特别是在一些长期运行的服务器程序中,如果把所有的日志都记录在一个文件之中,势必会造成日志文件越来越大.当日志内容很多的时候,万一哪天突然需要查询某个日志信 ...
- 日志库EasyLogging++学习系列(6)—— 日志记录器
所有的日志都是由日志记录器完成的,日志记录器使用唯一的 ID(大小写敏感)来标识.在 Easylogging++ 中默认了三个现有的日志记录器: 默认日志记录器,其 ID 为:default 性能日志 ...
- 日志库EasyLogging++学习系列(2)—— 日志级别
在很多的C++日志库中,日志信息会根据严重性来划分级别,使用者可以设置严重性级别门阀值来控制日志的输出,即严重性级别在该门阀值以上的日志信息才进行记录.以此不同,在Easylogging++日志库中, ...
- linux运维云计算课程学习,Linux云计算面试时遇到的问题
Linux命令行,以及用户使用Linux命令进行Linux shell交互,是Linux最吸引人的地方,也是面试中最普遍的话题之一.在这篇文章中,我们将提出10个面试中很重要问题,这肯定能拓宽你的知识 ...
- Linux用cron发送信息,Python在linux上用cron作业发送KDE knotify消息?
您需要提供一个名为DBUS_SESSION_BUS_ADDRESS的环境变量.在 您可以从正在运行的kde会话中获取值.在$ echo $DBUS_SESSION_BUS_ADDRESS unix:a ...
- 《Linux高性能服务器编程》学习笔记
<Linux高性能服务器编程>学习笔记 Linux高性能服务器编程 TCP/IP协议族 TCP/IP协议族体系结构以及主要协议 数据链路层 网络层 传输层 应用层 封装 分用 测试网络 A ...
- 如何学习嵌入式linux[转]
嵌入式时代已经来临,你还在等什么? ---循序渐进学习嵌入式开发技术 最近经常有用人单位给 我打来电话,问我这有没有嵌入式Linux方面的开发人员,他们说他们单位急需要懂得在嵌入式linux环境下 ...
最新文章
- matlab函数输入顺序,求助:在MATLAB里如何输入时间序列中的时间
- 一文读懂P Quant与 Q Quant ,量化交易与金融工程
- webpack-dev-server 和webpack-hot-middleware
- python基础教程:list转换range()的打印结果
- Android随机生成四则运算
- 市场39款主流同步整流DCDC芯片横向测评预告---摘自:嘉立创商城
- 探索Julia(part2)--关于IDE
- Java实现ActiveMQ之队列的生产者和消费者(一)
- transformers Tokenizer
- [教官] 目标中关村!偶滴工作日记
- modbus tcp主站和从站_实例讲解PLC实现modbus通讯
- WPS Office 11.1.0.10314 免费完整版
- eclipse运行不了jsp代码,错误代码:couldn't create the java virtual machine. a fatal exception has occurred.
- typedef的使用详解
- 从北斗到Mate 50:星空中的中国式浪漫
- linux 关闭 飞行模式,飞行模式和免打扰模式的区别
- 达梦中的连接查询方式
- 《人工智能》课程习题
- dao层通用封装_层超类型模式:封装多层系统中的通用实现
- sql server 更新表,每天的数据分固定批次设置批次号sql