一、添加历史命令记录

1.首先在/etc/profile中添加

export HISTORY_FILE=/var/log/Command/Command.log

export PROMPT_COMMAND='{ date "+%Y-%m-%d %T # $(who am i |awk "{print \$1,\$2,\$5}") $(whoami):[$PWD]# $(history 1 | { read x cmd; echo "$cmd"; })"; } >>$HISTORY_FILE'

2.定期备份移动历史命令,把如下脚本写到任务计划里。每隔一周执行一次

30 10 * * 6 /bin/bash /var/log/Command/history.sh > /dev/null 2>&1

  

Time=`date +%Y%m%d%H`

logs_path="/var/log/Command/"

logs_name="Command.log"

new_file="$logs_path$logs_name-$Time"

old_file=`find $logs_path -mtime +30 -type f -name "Command.*"`

chattr -a $logs_path$logs_name

mv $logs_path$logs_name $new_file

chattr +a $new_file

touch $logs_path$logs_name

chown -R nobody:nobody $logs_path$logs_name

chmod -R 002 $logs_path$logs_name

chattr +a $logs_path$logs_name

if [ ! -z $old_file ]

then

    echo "delet $old_file $Time" >> /var/log/messages

    chattr -a $old_file

    rm -rf $old_file

fi

3.检查/var/log/Command/Command.log的中的日志

二、使用审计工具,splunk或者eak。

完成步骤一基本就完成了审计功能,如果想要图形化的搜索界面。可以使用步骤二。

方法1.使用splunk

(1).下载splunkforwarder

splunkforwarder类似于zabbix_agent,logstash,filebeat之类的client端。

splunk类似于zabbix_server之类的server端。

splunkforwarder不好找,去splunk官网下载时候。注意右下角有一个old release。选择自己有lincense的版本。

(2)安装splunkforwarder

   rpm -ivh splunkforwarder-版本号.rpm

   cd /opt/splunkforwarder/bin

   ./splunk start

   ./splunk add forward-server 192.168.103.31:9997

   ./splunk set deploy-poll 192.168.103.31:8089

   ./splunk add monitor /var/log/lastlog -index secure

   ./splunk add monitor /var/log/lastlog -index secure           #添加索引位置和目录

   ./splunk add monitor /var/log/lastlog -index secure

   ./splunk add monitor /tmp/wtmp -index secure

   ./splunk add monitor /var/log/Command/Command.log -index history

   ./splunk restart

(3)安装splunk

方法同上,适当变通一下包名。启动web功能。

(4)查看图形

命令审计

登录审计(里面的路径和上面写的/var/log/Command/Command.log位置不一致,图片截图比较早。以前的图片)

方法2.使用eak,elasticsearch,auditbeat,kibana套装

(1)安装过程不想写了,百度能搜一堆。大致过程是搜索elk官网,进去下载,选择rpm包。下载完rpm安装。或者直接yum install auditbeat

(2)修改配置文件,添加审计目录

auditbeat.modules:

- module: auditd

  audit_rule_files: [ '${path.config}/audit.rules.d/*.conf' ]

  audit_rules: |

    -a always,exit -F arch=b64 -S execve,execveat -k exec

    -w /etc/group -p wa -k identity

    -w /etc/passwd -p wa -k identity

    -w /etc/gshadow -p wa -k identity

    -a always,exit -F arch=b64 -S open,creat,truncate,ftruncate,openat,open_by_handle_at -F exit=-EACCES -k access

    -a always,exit -F arch=b64 -S open,creat,truncate,ftruncate,openat,open_by_handle_at -F exit=-EPERM -k access

- module: file_integrity

  paths:

  - /bin

  - /usr/bin

  - /sbin

  - /usr/sbin

  - /etc

  exclude_files:

  - '(?i)\.sw[nop]$'

  - '~$'

  - '/\.git($|/)'

  scan_rate_per_sec: 50 MiB

  max_file_size: 100 MiB

  recursive: false

- module: system

  datasets:

- module: system

  datasets:

  period: 30m                  #多久上报一次数据

  state.period: 12h

  process.hash.scan_rate_per_sec: 50 MiB

  process.hash.max_file_size: 100 MiB

  user.detect_password_changes: true

  login.wtmp_file_pattern: /var/log/wtmp*

  login.btmp_file_pattern: /var/log/btmp*

setup.template.settings:

  index.number_of_shards: 1

setup.template.name: "auditbeat-hxtpay"

setup.template.pattern: "auditbeat-hxtpay-*"

setup.template.enabled: true

setup.ilm.rollover_alias: "auditbeat-hxtpay"
setup.dashboards.directory: /usr/share/auditbeat/kibana/     #导入模板
setup.dashboards.index: auditbeat-*                #默认索引
setup.kibana:
output.elasticsearch:
  hosts: ["你的elasticsearch服务器ip:9200"]
  username: "elastic"
  password: "你的密码,没设置账号密码的直接注释这两行"
processors:
  - add_host_metadata: ~
  - add_cloud_metadata: ~
  - add_docker_metadata: ~

 (3)添加auditeat审计模板到kibana里

/usr/share/auditbeat/bin/auditbeat -c /etc/auditbeat/auditbeat.yml setup --dashboards

(4)查看kibana的dashboard

文件审计

登录审计

linux历史命令审计的更多相关文章

  1. linux历史命令

    "忘记历史的Linux用户注定要输入很多信息.” 这也让强有力的历史命令(包括Bash shell的历史变体)不仅在援引之前执行命令而不需重新输入它们时有用,在调用其它很少用到的命令时也有用 ...

  2. linux 历史命令用法(转)

    许多使用过Linux一段时间的人通过一些基础操作已经能够把Linux各方面基本玩转,但是如果没有经过系统学习的话就容易缺乏一些实战技巧.这系列文章介绍一些关于bash的能够提高效率的技巧,主要是关于历 ...

  3. 强有力的Linux历史命令 你还记得几个

    列出所有出现到的命令:(所有一下信息都可以通过man history得到,而且还更多) history:列出历史中执行过的命令(-c清除所有的命令历史) !N:执行编号为N的历史命令 !-N:执行倒数 ...

  4. linux历史命令查找快捷方式

      一.回到上次操作的目录# cd -进入上次访问目录 二.历史命令搜索操作快捷键:[Ctrl + r], [Ctrl + p], [Ctrl + n] 在终端中按捉 [Ctrl] 键的同时 [r] ...

  5. Linux历史命令管理以及用法

    history [-c] [-d offset] [n] history -anrw [filename] history -ps arg [arg...] -c: 清空命令历史 -d offset: ...

  6. Linux登录自动切换root账户与历史命令优化

    1:当我们Linux系统优化完成,会使用oldboy用户远程连接CRT登录,每次连接都需要使用sudo su - 或者su - 输入密码登录,请问如何在CRT连接的时候自动的切换到root账户,(提示 ...

  7. Linux中的历史命令

    Linux中的历史命令一般保存在用户    /root/.bash_history history 选项 历史命令保存文件夹 选项     -c:清空历史命令     -w :把缓存中的历史命令写入历 ...

  8. linux查看历史命令history

    在linux下,我们有可能需要查看最近执行过的命令(历史命令),我们可以进行如下操作: # 显示使用过的所有历史命令 $ history # 显示最近使用的5个命令 $ history 5 我们可以通 ...

  9. 【转】Linux中history历史命令使用方法详解

    原文网址:http://os.51cto.com/art/201205/335040.htm 当你在玩Linux的时候,如果你经常使用命令行来控制你的Linux系统,那么有效地使用命令历史机制将会使效 ...

随机推荐

  1. vmware快速扩容虚拟磁盘

    在使用vmware进行虚拟化的时候,会遇到虚拟磁盘不够用的情况,以前的办法都是使用lvm进行管理扩容,目前在linux上可以实现快速扩容了,具体方法如下: 该方法参考阿里云在线扩容文档:文档地址 其中 ...

  2. 【刷题-LeetCode】222. Count Complete Tree Nodes

    Count Complete Tree Nodes Given a complete binary tree, count the number of nodes. Note: Definition ...

  3. 【练习】rust中的复制语义和移动语义

    1.基本类型都是复制语义的 fn main(){ let a = 123; { #[allow(unused_variables)] let b = a; //如果是移动语义,那么后续的a将不再有效 ...

  4. golang取地址操作采坑:for idx,item := range arr中的item是个独立对象

    先看代码: package main import "fmt" func main() { type s struct { A string B int32 } arr := [] ...

  5. windows10双系统删除linux

    问题 在这里删除后会发现有残留一个引导区,几百m(下图已经删除完),而且启动会进linux引导,然后必须f12进入选择启动项才可以启动windows 解决方法 使用删除引导就可以了 再使用傲梅分区助手 ...

  6. [JavaWeb]利用JSP的编码特性制作免杀后门

    利用JSP的编码特性制作免杀后门 这里是借鉴了Y4stacker师傅的thinkings 待解决的问题 JSP解析 JSP"乱码"为什么还能被识别 "乱码"的J ...

  7. Android开发之事件

    当按下一个按钮时,有两种事件促发的方式,一种是通过回调,一种是通过事件监听. 回调: xml中: 只要设置android:onclick="回调函数名字" '主函数中重写回调函数即 ...

  8. golang中打印格式化的一些占位符

    package main import ( "fmt" ) func main() { var a byte = 255 // byte = uint8 rune = int32 ...

  9. 『无为则无心』Python基础 — 41、Python中文件的读写操作(一)

    目录 1.文件操作步骤 2.文件的读写操作 (1)文件的打开 (2)打开文件模式 (3)获取一个文件对象 (4)关于文件路径 1.文件操作步骤 当我们要读取或者写入文件时,我们需要打开文件,在操作完毕 ...

  10. Java安全之C3P0利用与分析

    Java安全之C3P0利用与分析 目录 Java安全之C3P0利用与分析 写在前面 C3P0 Gadget http base C3P0.getObject() 序列化 反序列化 Class.forN ...