首页 > 代码库 > Linux简单的日志审计
Linux简单的日志审计
生产环境日志审计解决方案
所谓的日志审计,就是记录所有系统及相关的用户行为,并且可以自动分析、处理、展示(包括文本或者录像)
1) :通过环境变量以及rsyslog服务进行全部日志审计(信息太大,不推荐)
2) sudo配置rsyslog服务,进行日志审计(信息较少,效果不错)
3) 在bash解释器中嵌入一个监视器,让所有被审计的系统用户使用修改过的增加监视器的特殊bash程序作为解释程序。
4) 齐治的堡垒机:商业产品
在此文档中,我们学习第二种方法:sudo的日志审计,所谓的suod的日志审计,并不记录普通用户的操作,只记得执行sudo命令的操作
1安装sudo和syslog服务
使用yum等命令在在线安装sudo和syslog服务(在centos6.4中syslog为rsyslog服务)
2配置/etc/sudoers
在/etc/sudoers中配置下面这一行配置
Defaults logfile=/var/log/sudo.log
3配置系统日志/etc/(r)syslog.conf
在/etc/syslog.conf中添加下面一行的配置文件
local2.debug /var/log/sudo.log
4重启syslog服务
/etc/init.d/rsyslog restart
然后在/var/log/sudo.log 中就可以发现使用sudo命令的用户。
经过测试这是一个很实用的方法。
Linux简单的日志审计
声明:以上内容来自用户投稿及互联网公开渠道收集整理发布,本网站不拥有所有权,未作人工编辑处理,也不承担相关法律责任,若内容有误或涉及侵权可进行投诉: 投诉/举报 工作人员会在5个工作日内联系你,一经查实,本站将立刻删除涉嫌侵权内容。