syslog记录history历史记录
工作中可能會(huì)有無聊的***在你服務(wù)器上轉(zhuǎn)悠,***智商都不錯(cuò),所有離開的時(shí)候就會(huì)刪除history記錄。怎么辦才能記錄下用戶的歷史記錄呢?
原理:將history記錄到syslog上面,并實(shí)時(shí)的傳送到了遠(yuǎn)端的日志集中服務(wù)器上。
方法:使用bash4.1的新功能:歷史命令保存到syslog!然后使用syslog-ng構(gòu)建集中型日志服務(wù)器收集主機(jī)日志。
1 下載bash:
#wget http://ftp.gnu.org/gnu/bash/bash-4.1.tar.gz
#tar zxvf bash-4.1.tar.gz –C /usr/local/bash-4.1
#cd /usr/local/bash-4.1
2 修改參數(shù)(根據(jù)個(gè)人需要,我只保留了pid,uid,sid等,參數(shù)請(qǐng)看目錄下的shell.c中):
文件bashhist.c大約708行的位置開始,修改成以下一段:
syslog (SYSLOG_FACILITY|SYSLOG_LEVEL,"HISTORY: PID=%d PPID=%d SID=%d User=%s CMD=%s", getpid(),getppid(), getsid(getpid()), current_user.user_name, line);
else
{
strncpy (trunc, line, SYSLOG_MAXLEN);
trunc[SYSLOG_MAXLEN -1]='\0';
syslog (SYSLOG_FACILITY|SYSLOG_LEVEL,"HISTORY (TRUNCATED): PID=%d PPID=%d SID=%d User=%s CMD=%s", getpid(),getppid(), getsid(getpid()), current_user.user_name, trunc);
}
注:ppid:bash父進(jìn)程號(hào)
Sid: 跟蹤 su 切換后的進(jìn)程號(hào)
第二段代表log長(zhǎng)度超過600后使用的語(yǔ)句
3 去掉config-top.h中define SYSLOG_HISTORY的注釋。
結(jié)果如下:
#define SYSLOG_HISTORY
4 編譯安裝
# ./configure & make && make install
5 修改用戶配置:
將用戶的bash換成現(xiàn)在的bash4.1
# vi /etc/passwd
dongwm:x:501:501::/home/dongwm:/usr/local/bash_4.1/bin/bash
結(jié)果類似這樣:Dec 2317:40:28 server -bash: HISTORY: PID=4089 PPID=4088 SID=4089 User=dongwm CMD=exit
Dec 2317:41:47 server -bash: HISTORY: PID=4282 PPID=4278 SID=4282 User=root CMD=exit
Dec 2317:41:53 server -bash: HISTORY: PID=4321 PPID=4317 SID=4321 User=root CMD=ssh java00
Dec 2317:44:09 server -bash: HISTORY: PID=2152 PPID=2137 SID=2152 User=root CMD=vi Clean_javalog.sh
Dec 2317:45:16 server -bash: HISTORY: PID=2152 PPID=2137 SID=2152 User=root CMD=sh Clean_javalog.sh
Dec 2317:45:30 server -bash: HISTORY: PID=2152 PPID=2137 SID=2152 User=root CMD=cat /dev/shm/cleanJavaLog.log
Dec 2317:46:08 server -bash: HISTORY: PID=2152 PPID=2137 SID=2152 User=root CMD=vi Clean_javalog.sh
Dec 2317:48:54 server -bash: HISTORY: PID=2152 PPID=2137 SID=2152 User=root CMD=cat Clean_javalog.sh
......
在整個(gè)環(huán)境布置了記錄功能,就能方便的查出來誰(shuí)-在何時(shí),用什么賬號(hào),做了什么操作...
6 主機(jī)syslog配置(添加日志服務(wù)器的地址)
# vi /etc/syslog.conf
在最后添加一列:
*.* @server.dongwm.com(你的日志服務(wù)器的地址)
7 搭建日志服務(wù)器
請(qǐng)參看:http://wenku.baidu.com/view/c3bb49c58bd63186bcebbc7a.html
轉(zhuǎn)載于:https://blog.51cto.com/dongwm/471160
總結(jié)
以上是生活随笔為你收集整理的syslog记录history历史记录的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 2011年1月1日,开篇,起点。
- 下一篇: 静态数组的声明与例子练习