Linux简单的日志审计

Posted 浪漫逆风

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Linux简单的日志审计相关的知识,希望对你有一定的参考价值。

生产环境日志审计解决方案

       所谓的日志审计,就是记录所有系统及相关的用户行为,并且可以自动分析、处理、展示(包括文本或者录像)

1)     :通过环境变量以及rsyslog服务进行全部日志审计(信息太大,不推荐)

2)     sudo配置rsyslog服务,进行日志审计(信息较少,效果不错)

3)     在bash解释器中嵌入一个监视器,让所有被审计的系统用户使用修改过的增加监视器的特殊bash程序作为解释程序。

4)     齐治的堡垒机:商业产品

 

在此文档中,我们学习第二种方法:sudo的日志审计,所谓的suod的日志审计,并不记录普通用户的操作,只记得执行sudo命令的操作

 

1安装sudo和syslog服务

使用yum等命令在在线安装sudo和syslog服务(在centos6.4中syslog为rsyslog服务)

 

2配置/etc/sudoers

在/etc/sudoers中配置下面这一行配置

Defaults        logfile=/var/log/sudo.log

 

3配置系统日志/etc/(r)syslog.conf

在/etc/syslog.conf中添加下面一行的配置文件

 

local2.debug    /var/log/sudo.log

 

 

4重启syslog服务

/etc/init.d/rsyslog restart

然后在/var/log/sudo.log 中就可以发现使用sudo命令的用户。

 

 

 

 

经过测试这是一个很实用的方法。

以上是关于Linux简单的日志审计的主要内容,如果未能解决你的问题,请参考以下文章

Linux的audit.log日志审计怎么断定被黑客入侵了

linux audit审计--audit的日志切分,以及与rsyslog的切分协同使用

Linux bash运维操作日志审计(单服务器)

SpringBoot日志跟踪

Linux的audit.log日志审计怎么断定被黑客入侵了

利用auditbeat采集系统审计日志并生成图像