论坛徽章:: 0

电梯直达

1楼 [收藏(0)] [报告]

发表于 2011-07-07 23:31 |只看该作者 |倒序浏览

最近研究记录常见的Unix系统（Linux、Solaris、AIX、HP-UX、SUSE Linux）的操作命令日志，比较有意思，如果大家有问题可以问我，我提供解答。
现在把最后的测试结果发上来。

Unix审计日志需求及结果.rar (12.11 KB, 下载次数: 341)

文库|博客

bbgg1983

富足长乐

论坛徽章:: 0

2楼 [报告]

发表于 2011-07-08 00:13 |只看该作者

谢谢楼主分享！

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

lionfun

家境小康

论坛徽章:: 0

3楼 [报告]

发表于 2011-07-08 01:51 |只看该作者

支持一下，如果LZ能够把测试的过程也分享出来那就更好了

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

青蛙咕啦咕啦

白手起家

论坛徽章:: 0

4楼 [报告]

发表于 2011-07-08 14:01 |只看该作者

以下贴出Linux系统的bash下的配置，其它的有兴趣的自己去研究啦。
1.4       Redhat Linux系统
1.4.1       配置日志本地存储及转发
1.       备份syslog.conf文件
cp /etc/syslog.conf  /etc/syslog.conf.bak
2.       编辑syslog.conf文件
vi /etc/syslog.conf
在文件中加入以下内容：
user.notice       /var/log/authlog
3.       创建日志记录文件：
touch /var/log/authlog
1.4.2       配置记录用户登录日志、操作命令日志
对不同Shell环境，需要修改及配置的文件内容有所不同，以下分别说明。
1.4.2.1       Bourne-Again Shell（sh、bash）
对于Bourne-Again Shell、Bourne Shell（Linux中指向Bourne-Again Shell），修改/etc/bashrc文件。
vi /etc/bashrc
在文件最后加入以下内容（蓝色），将其中的192.168.100.90替换为资源的IP：
# Add content in /etc/bashrc
# Log bash user login and command history
up_client_ip=`(who am i|cut -d$ -f2|cut -d$ -f1)`
up_nowtime=`(date -d now +"%Y-%m-%d %T")`
logger -p user.notice -- class=\"HOST_LOGIN\" type=\"2\" time=\"$up_nowtime\" src_ip=\"$up_client_ip\" dst_ip=\"192.168.100.90\" primary_user=\"\" secondary_user=\"$(whoami)\" operation=\"\" content=\"login successful\" authen_status=\"Success\" log_level=\"1\" session_id=\"$$\" 2>/dev/null;
export PROMPT_COMMAND='{ logger -p user.notice -- class=\"HOST_COMMAND\" type=\"3\" time=\"$(date -d now +"%Y-%m-%d %T")\" src_ip=\"$up_client_ip\" dst_ip=\"192.168.100.90\" primary_user=\"\" secondary_user=\"$(whoami)\" operation=\"$(history 1 | { read x y; echo $y; })\" content=\"command\" authen_status=\"\" log_level=\"1\" sessionid=\"$$\" 2>/dev/null; }'
1.4.3       重新启动syslogd进程
/etc/rc.d/init.d/syslog restart
或者
/etc/rc.d/init.d/syslog stop
/etc/rc.d/init.d/syslog start
1.4.4       测试确认
1.       使用root（或普通用户）通过ssh、telnet或者rlogin方式登录服务器；
2.       在/var/log/authlog中会记录登录日志，如下所示：
<13>bashuser: class="HOST_LOGIN" type="2" time="2011-06-29 10:44:03" src_ip="192.168.14.83" dst_ip="192.168.99.243" primary_user="" secondary_user="bashuser" operation="" content="login successful" authen_status="Success" log_level="1" sessionid="12182"
<13>bashuser: class="HOST_COMMAND" type="3" time="2011-06-29 10:44:03" src_ip="192.168.14.83" dst_ip="192.168.100.90" primary_user="" secondary_user="bashuser" operation="uname -a" content="command" authen_status="" log_level="1" sessionid="12182"