前言
我这里计划用SLS做服务器日志审计,安装Logtail后通过 [分隔符-文本] 的方式,采集服务器各种相关日志,大概需要以下内容(目录可能是错的,这个是做等保的评测的兄弟发过来的)
/var/log/secure安全日志
/var/log/wtmp登录日志
/var/log/message报警日志
/var/log/boot.log启动日志
/var/log/maillog邮件日志
/var/log/cron crontab服务日志
/var/log/syslog事件记录监控程序日志
/var/log/history 用户操作日志
发现我们生产服务器并没有history这个文件,于是网上搜了下,做个转载/记录
正文
修改 /etc/profile
在最底部添加如下内容
history
USER=`whoami`
USER_IP=`who -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'`
if [ "$USER_IP" = "" ]; thenUSER_IP=`hostname`
fi
if [ ! -d /var/log/history ]; thenmkdir /var/log/historychmod 777 /var/log/history
fi
if [ ! -d /var/log/history/${LOGNAME} ]; thenmkdir /var/log/history/${LOGNAME}chown -R ${LOGNAME}:${LOGNAME} /var/log/history/${LOGNAME}chmod 770 /var/log/history/${LOGNAME}
fi
export HISTSIZE=4096
DT=`date +"%Y%m%d_%H:%M:%S"`
export HISTFILE="/var/log/history/${LOGNAME}/${USER}@${USER_IP}_$DT.log"
chmod 660 /var/log/history/${LOGNAME}/*history* 2>/dev/null
查阅日志记录
感觉很OK
京公网安备 11010802041100号