一、添加历史命令记录

1.首先在/etc/profile中添加

export HISTORY_FILE=/var/log/Command/Command.log

export PROMPT_COMMAND='{ date "+%Y-%m-%d %T # $(who am i |awk "{print \$1,\$2,\$5}") $(whoami):[$PWD]# $(history 1 | { read x cmd; echo "$cmd"; })"; } >>$HISTORY_FILE'

2.定期备份移动历史命令,把如下脚本写到任务计划里。每隔一周执行一次

30 10 * * 6 /bin/bash /var/log/Command/history.sh > /dev/null 2>&1

  

Time=`date +%Y%m%d%H`

logs_path="/var/log/Command/"

logs_name="Command.log"

new_file="$logs_path$logs_name-$Time"

old_file=`find $logs_path -mtime +30 -type f -name "Command.*"`

chattr -a $logs_path$logs_name

mv $logs_path$logs_name $new_file

chattr +a $new_file

touch $logs_path$logs_name

chown -R nobody:nobody $logs_path$logs_name

chmod -R 002 $logs_path$logs_name

chattr +a $logs_path$logs_name

if [ ! -z $old_file ]

then

    echo "delet $old_file $Time" >> /var/log/messages

    chattr -a $old_file

    rm -rf $old_file

fi

3.检查/var/log/Command/Command.log的中的日志

二、使用审计工具,splunk或者eak。

完成步骤一基本就完成了审计功能,如果想要图形化的搜索界面。可以使用步骤二。

方法1.使用splunk

(1).下载splunkforwarder

splunkforwarder类似于zabbix_agent,logstash,filebeat之类的client端。

splunk类似于zabbix_server之类的server端。

splunkforwarder不好找,去splunk官网下载时候。注意右下角有一个old release。选择自己有lincense的版本。

(2)安装splunkforwarder

   rpm -ivh splunkforwarder-版本号.rpm

   cd /opt/splunkforwarder/bin

   ./splunk start

   ./splunk add forward-server 192.168.103.31:9997

   ./splunk set deploy-poll 192.168.103.31:8089

   ./splunk add monitor /var/log/lastlog -index secure

   ./splunk add monitor /var/log/lastlog -index secure           #添加索引位置和目录

   ./splunk add monitor /var/log/lastlog -index secure

   ./splunk add monitor /tmp/wtmp -index secure

   ./splunk add monitor /var/log/Command/Command.log -index history

   ./splunk restart

(3)安装splunk

方法同上,适当变通一下包名。启动web功能。

(4)查看图形

命令审计

登录审计(里面的路径和上面写的/var/log/Command/Command.log位置不一致,图片截图比较早。以前的图片)

方法2.使用eak,elasticsearch,auditbeat,kibana套装

(1)安装过程不想写了,百度能搜一堆。大致过程是搜索elk官网,进去下载,选择rpm包。下载完rpm安装。或者直接yum install auditbeat

(2)修改配置文件,添加审计目录

auditbeat.modules:

- module: auditd

  audit_rule_files: [ '${path.config}/audit.rules.d/*.conf' ]

  audit_rules: |

    -a always,exit -F arch=b64 -S execve,execveat -k exec

    -w /etc/group -p wa -k identity

    -w /etc/passwd -p wa -k identity

    -w /etc/gshadow -p wa -k identity

    -a always,exit -F arch=b64 -S open,creat,truncate,ftruncate,openat,open_by_handle_at -F exit=-EACCES -k access

    -a always,exit -F arch=b64 -S open,creat,truncate,ftruncate,openat,open_by_handle_at -F exit=-EPERM -k access

- module: file_integrity

  paths:

  - /bin

  - /usr/bin

  - /sbin

  - /usr/sbin

  - /etc

  exclude_files:

  - '(?i)\.sw[nop]$'

  - '~$'

  - '/\.git($|/)'

  scan_rate_per_sec: 50 MiB

  max_file_size: 100 MiB

  recursive: false

- module: system

  datasets:

- module: system

  datasets:

  period: 30m                  #多久上报一次数据

  state.period: 12h

  process.hash.scan_rate_per_sec: 50 MiB

  process.hash.max_file_size: 100 MiB

  user.detect_password_changes: true

  login.wtmp_file_pattern: /var/log/wtmp*

  login.btmp_file_pattern: /var/log/btmp*

setup.template.settings:

  index.number_of_shards: 1

setup.template.name: "auditbeat-hxtpay"

setup.template.pattern: "auditbeat-hxtpay-*"

setup.template.enabled: true

setup.ilm.rollover_alias: "auditbeat-hxtpay"
setup.dashboards.directory: /usr/share/auditbeat/kibana/     #导入模板
setup.dashboards.index: auditbeat-*                #默认索引
setup.kibana:
output.elasticsearch:
  hosts: ["你的elasticsearch服务器ip:9200"]
  username: "elastic"
  password: "你的密码,没设置账号密码的直接注释这两行"
processors:
  - add_host_metadata: ~
  - add_cloud_metadata: ~
  - add_docker_metadata: ~

 (3)添加auditeat审计模板到kibana里

/usr/share/auditbeat/bin/auditbeat -c /etc/auditbeat/auditbeat.yml setup --dashboards

(4)查看kibana的dashboard

文件审计

登录审计

linux历史命令审计的更多相关文章

  1. linux历史命令

    "忘记历史的Linux用户注定要输入很多信息.” 这也让强有力的历史命令(包括Bash shell的历史变体)不仅在援引之前执行命令而不需重新输入它们时有用,在调用其它很少用到的命令时也有用 ...

  2. linux 历史命令用法(转)

    许多使用过Linux一段时间的人通过一些基础操作已经能够把Linux各方面基本玩转,但是如果没有经过系统学习的话就容易缺乏一些实战技巧.这系列文章介绍一些关于bash的能够提高效率的技巧,主要是关于历 ...

  3. 强有力的Linux历史命令 你还记得几个

    列出所有出现到的命令:(所有一下信息都可以通过man history得到,而且还更多) history:列出历史中执行过的命令(-c清除所有的命令历史) !N:执行编号为N的历史命令 !-N:执行倒数 ...

  4. linux历史命令查找快捷方式

      一.回到上次操作的目录# cd -进入上次访问目录 二.历史命令搜索操作快捷键:[Ctrl + r], [Ctrl + p], [Ctrl + n] 在终端中按捉 [Ctrl] 键的同时 [r] ...

  5. Linux历史命令管理以及用法

    history [-c] [-d offset] [n] history -anrw [filename] history -ps arg [arg...] -c: 清空命令历史 -d offset: ...

  6. Linux登录自动切换root账户与历史命令优化

    1:当我们Linux系统优化完成,会使用oldboy用户远程连接CRT登录,每次连接都需要使用sudo su - 或者su - 输入密码登录,请问如何在CRT连接的时候自动的切换到root账户,(提示 ...

  7. Linux中的历史命令

    Linux中的历史命令一般保存在用户    /root/.bash_history history 选项 历史命令保存文件夹 选项     -c:清空历史命令     -w :把缓存中的历史命令写入历 ...

  8. linux查看历史命令history

    在linux下,我们有可能需要查看最近执行过的命令(历史命令),我们可以进行如下操作: # 显示使用过的所有历史命令 $ history # 显示最近使用的5个命令 $ history 5 我们可以通 ...

  9. 【转】Linux中history历史命令使用方法详解

    原文网址:http://os.51cto.com/art/201205/335040.htm 当你在玩Linux的时候,如果你经常使用命令行来控制你的Linux系统,那么有效地使用命令历史机制将会使效 ...

随机推荐

  1. 学习javaScript必知必会(6)~类、类的定义、prototype 原型、json对象

    一.定义类:使用的是funciton,因为在js中没有定义类的class语句,只有function. ■ 举例: //定义一个Person类(通过类的无参构造函数定义类) function Perso ...

  2. [Windows]为windows系统鼠标右键添加软件和图标

    转载自 https://blog.csdn.net/p312011150/article/details/81207059 一.打开注册表 首先打开windows的注册表,当然了,我个人倾向于 (1) ...

  3. porcupine语音唤醒python实现

    note it is not for arm pyaudio <= 3.6 version porcupine 3.5 3.6 not 3.7 code import struct import ...

  4. nao机器人使用手册

    简单使用和保养 开关机和马达 开机是按一下,后来按一下相当于重启了一次程序,3是播报IP地址,5秒是关机,8秒是强制关机. 电池 3月左右不用需要取下电池.夏天5-8小时,冬天8-10小时充电.活动时 ...

  5. Python定制化天气预报消息推送

    sansui-Weather 代码码云 介绍 定制化天气预报消息推送(练手小脚本) Python脚本实现天气查询应用,提醒她注意保暖! 功能介绍 天气信息获取 当天天气信息提示 第二天天气信息提示 网 ...

  6. MySQL单表查询(分组-筛选-过滤-去重-排序)

    目录 一:单表查询 1.单表查询(前期准备) 2.插入记录(写入数据) 3.查询关键字 二:查询关键字之where 1.查询id大于等于3小于等于6的数据 2.查询薪资是20000或者18000或者1 ...

  7. 码风QwQ

    注:卡常.压行时怎么有效怎么来QwQ 快读真香.( 不喜欢用字符数组,使用string. 此时cin cout输入前会加这样三句以优化: ios::sync_with_stdio(0); cin.ti ...

  8. Spring系列8:bean的作用域

    本文内容 bean定义信息的意义 介绍6种bean的作用域 bean定义信息的意义 Spring中区分下类.类定义信息,类实例对象的概念?不容易理解,以餐馆中点炒饭为例. 类: 相当于你看到菜单上炒饭 ...

  9. KL散度非负性证明

    1 KL散度 KL散度(Kullback–Leibler divergence) 定义如下: $D_{K L}=\sum\limits_{i=1}^{n} P\left(x_{i}\right) \t ...

  10. django之百度Ueditor富文本编辑器后台集成

    Python3 + Django2.0 百度Ueditor 富文本编辑器的集成 百度富文本编辑器官网地址:http://fex.baidu.com/ueditor/ 疑问:为什么要二次集成? 答案:因 ...