一、添加历史命令记录

1.首先在/etc/profile中添加

export HISTORY_FILE=/var/log/Command/Command.log

export PROMPT_COMMAND='{ date "+%Y-%m-%d %T # $(who am i |awk "{print \$1,\$2,\$5}") $(whoami):[$PWD]# $(history 1 | { read x cmd; echo "$cmd"; })"; } >>$HISTORY_FILE'

2.定期备份移动历史命令,把如下脚本写到任务计划里。每隔一周执行一次

30 10 * * 6 /bin/bash /var/log/Command/history.sh > /dev/null 2>&1

  

Time=`date +%Y%m%d%H`

logs_path="/var/log/Command/"

logs_name="Command.log"

new_file="$logs_path$logs_name-$Time"

old_file=`find $logs_path -mtime +30 -type f -name "Command.*"`

chattr -a $logs_path$logs_name

mv $logs_path$logs_name $new_file

chattr +a $new_file

touch $logs_path$logs_name

chown -R nobody:nobody $logs_path$logs_name

chmod -R 002 $logs_path$logs_name

chattr +a $logs_path$logs_name

if [ ! -z $old_file ]

then

    echo "delet $old_file $Time" >> /var/log/messages

    chattr -a $old_file

    rm -rf $old_file

fi

3.检查/var/log/Command/Command.log的中的日志

二、使用审计工具,splunk或者eak。

完成步骤一基本就完成了审计功能,如果想要图形化的搜索界面。可以使用步骤二。

方法1.使用splunk

(1).下载splunkforwarder

splunkforwarder类似于zabbix_agent,logstash,filebeat之类的client端。

splunk类似于zabbix_server之类的server端。

splunkforwarder不好找,去splunk官网下载时候。注意右下角有一个old release。选择自己有lincense的版本。

(2)安装splunkforwarder

   rpm -ivh splunkforwarder-版本号.rpm

   cd /opt/splunkforwarder/bin

   ./splunk start

   ./splunk add forward-server 192.168.103.31:9997

   ./splunk set deploy-poll 192.168.103.31:8089

   ./splunk add monitor /var/log/lastlog -index secure

   ./splunk add monitor /var/log/lastlog -index secure           #添加索引位置和目录

   ./splunk add monitor /var/log/lastlog -index secure

   ./splunk add monitor /tmp/wtmp -index secure

   ./splunk add monitor /var/log/Command/Command.log -index history

   ./splunk restart

(3)安装splunk

方法同上,适当变通一下包名。启动web功能。

(4)查看图形

命令审计

登录审计(里面的路径和上面写的/var/log/Command/Command.log位置不一致,图片截图比较早。以前的图片)

方法2.使用eak,elasticsearch,auditbeat,kibana套装

(1)安装过程不想写了,百度能搜一堆。大致过程是搜索elk官网,进去下载,选择rpm包。下载完rpm安装。或者直接yum install auditbeat

(2)修改配置文件,添加审计目录

auditbeat.modules:

- module: auditd

  audit_rule_files: [ '${path.config}/audit.rules.d/*.conf' ]

  audit_rules: |

    -a always,exit -F arch=b64 -S execve,execveat -k exec

    -w /etc/group -p wa -k identity

    -w /etc/passwd -p wa -k identity

    -w /etc/gshadow -p wa -k identity

    -a always,exit -F arch=b64 -S open,creat,truncate,ftruncate,openat,open_by_handle_at -F exit=-EACCES -k access

    -a always,exit -F arch=b64 -S open,creat,truncate,ftruncate,openat,open_by_handle_at -F exit=-EPERM -k access

- module: file_integrity

  paths:

  - /bin

  - /usr/bin

  - /sbin

  - /usr/sbin

  - /etc

  exclude_files:

  - '(?i)\.sw[nop]$'

  - '~$'

  - '/\.git($|/)'

  scan_rate_per_sec: 50 MiB

  max_file_size: 100 MiB

  recursive: false

- module: system

  datasets:

- module: system

  datasets:

  period: 30m                  #多久上报一次数据

  state.period: 12h

  process.hash.scan_rate_per_sec: 50 MiB

  process.hash.max_file_size: 100 MiB

  user.detect_password_changes: true

  login.wtmp_file_pattern: /var/log/wtmp*

  login.btmp_file_pattern: /var/log/btmp*

setup.template.settings:

  index.number_of_shards: 1

setup.template.name: "auditbeat-hxtpay"

setup.template.pattern: "auditbeat-hxtpay-*"

setup.template.enabled: true

setup.ilm.rollover_alias: "auditbeat-hxtpay"
setup.dashboards.directory: /usr/share/auditbeat/kibana/     #导入模板
setup.dashboards.index: auditbeat-*                #默认索引
setup.kibana:
output.elasticsearch:
  hosts: ["你的elasticsearch服务器ip:9200"]
  username: "elastic"
  password: "你的密码,没设置账号密码的直接注释这两行"
processors:
  - add_host_metadata: ~
  - add_cloud_metadata: ~
  - add_docker_metadata: ~

 (3)添加auditeat审计模板到kibana里

/usr/share/auditbeat/bin/auditbeat -c /etc/auditbeat/auditbeat.yml setup --dashboards

(4)查看kibana的dashboard

文件审计

登录审计

linux历史命令审计的更多相关文章

  1. linux历史命令

    "忘记历史的Linux用户注定要输入很多信息.” 这也让强有力的历史命令(包括Bash shell的历史变体)不仅在援引之前执行命令而不需重新输入它们时有用,在调用其它很少用到的命令时也有用 ...

  2. linux 历史命令用法(转)

    许多使用过Linux一段时间的人通过一些基础操作已经能够把Linux各方面基本玩转,但是如果没有经过系统学习的话就容易缺乏一些实战技巧.这系列文章介绍一些关于bash的能够提高效率的技巧,主要是关于历 ...

  3. 强有力的Linux历史命令 你还记得几个

    列出所有出现到的命令:(所有一下信息都可以通过man history得到,而且还更多) history:列出历史中执行过的命令(-c清除所有的命令历史) !N:执行编号为N的历史命令 !-N:执行倒数 ...

  4. linux历史命令查找快捷方式

      一.回到上次操作的目录# cd -进入上次访问目录 二.历史命令搜索操作快捷键:[Ctrl + r], [Ctrl + p], [Ctrl + n] 在终端中按捉 [Ctrl] 键的同时 [r] ...

  5. Linux历史命令管理以及用法

    history [-c] [-d offset] [n] history -anrw [filename] history -ps arg [arg...] -c: 清空命令历史 -d offset: ...

  6. Linux登录自动切换root账户与历史命令优化

    1:当我们Linux系统优化完成,会使用oldboy用户远程连接CRT登录,每次连接都需要使用sudo su - 或者su - 输入密码登录,请问如何在CRT连接的时候自动的切换到root账户,(提示 ...

  7. Linux中的历史命令

    Linux中的历史命令一般保存在用户    /root/.bash_history history 选项 历史命令保存文件夹 选项     -c:清空历史命令     -w :把缓存中的历史命令写入历 ...

  8. linux查看历史命令history

    在linux下,我们有可能需要查看最近执行过的命令(历史命令),我们可以进行如下操作: # 显示使用过的所有历史命令 $ history # 显示最近使用的5个命令 $ history 5 我们可以通 ...

  9. 【转】Linux中history历史命令使用方法详解

    原文网址:http://os.51cto.com/art/201205/335040.htm 当你在玩Linux的时候,如果你经常使用命令行来控制你的Linux系统,那么有效地使用命令历史机制将会使效 ...

随机推荐

  1. POJ 2387 Til the Cows Come Home (最短路径 模版题 三种解法)

    原题链接:Til the Cows Come Home 题目大意:有  个点,给出从  点到  点的距离并且  和  是互相可以抵达的,问从  到  的最短距离. 题目分析:这是一道典型的最短路径模版 ...

  2. Chromium Windows Build

    https://chromium.googlesource.com/chromium/src/+/refs/heads/main/docs/windows_build_instructions.md ...

  3. Flutter 2022 产品路线图发布

    为了提升产品的透明性,每年年初 Flutter 团队都会发布今年度的产品路线图,以帮助使用 Flutter 的团队和开发者们根据这些优先事项制定计划. 2022 年 Flutter 团队将重点通过关注 ...

  4. 读 Linux 像读小说「GitHub 热点速览 v.22.03」

    本周特推选取了一个画风有点意思的 Linux 代码带读项目 flash-linux0.11-talk,希望有趣的文风能带你读完 Linux 代码.当然画风可以增加阅读体验,彩色标记也是一种学习方法-- ...

  5. winform控件拖动

    示例代码 using System; using System.Collections.Generic; using System.Drawing; using System.Windows.Form ...

  6. 【机器学习】VAE

    机器学习算法-VAE 目录 机器学习算法-VAE 1. VAE模型推导 1.1 算法引入 1.2 模型推导 1.3 损失函数 1.4 重参数技巧 2. 实现 2.1 模型定义 2.2 实验 1. VA ...

  7. 【记录一个问题】铁威马NAS存储,当使用time machine备份的时候,如果再使用手机备份,会导致time machine备份中断

    如题 傻机器,无法做到并行备份!

  8. 【记录一个问题】android ndk中不支持pthread_yield()

    如题 使用这个函数报如下错误: error: use of undeclared identifier 'pthread_yield' pthread_yield(); 不得已,使用usleep(50 ...

  9. entity framework无法写入数据库.SaveChanges()失败

    参考https://stackoverflow.com/questions/26745184/ef-cant-savechanges-to-db/28256645 https://www.codepr ...

  10. Servlet监听器统计网站在线人数

    本节我们利用 Servlet 监听器接口,完成一个统计网站在线人数的案例.当一个用户登录后,显示欢迎信息,同时显示出当前在线人数和用户名单.当用户退出登录或 Session 过期时,从在线用户名单中删 ...