今天学习了了sudo日志审计,专门对使用sudo命令系统的用户记录其执行的相关命令信息

说明:所谓sudo命令日志审计,不记录普通用户操作,而是记录执行sudo命令的用户操作

1、安装sudo命令,syslog服务

[root@qzj ~]# rpm -qa |egrep "sudo|syslog"
rsyslog-5.8.10-10.el6_6.x86_64
sudo-1.8.6p3-29.el6_9.x86_64

如果没有安装则执行下面的安装命令;

[root@qzj ~]# yum install sudo rsyslog -y

2、配置/etc/sudoers

增加配置"Defaults     logfile=/var/log/sudo.log"到/etc/sudoers中

[root@qzj ~]# echo "Defaults     logfile=/var/log/sudo.log" >>/etc/sudoers  #追加到文件结尾
[root@qzj ~]# tail -1 /etc/sudoers
Defaults     logfile=/var/log/sudo.log
[root@qzj ~]# visudo -c    #检查sudoers文件语法
/etc/sudoers: parsed OK
[root@qzj ~]#

注:下面的3,4可以不执行,直接切到普通用户,然后查看/var/log/sudo.log有无操作

3、配置系统日志/etc/rsyslog.conf

增加配置local2.debug到/etc/rsyslog.conf中

[root@qzj ~]# echo "ocal2.debug     /var/log/sudo.log" >>/etc/rsyslog.conf
[root@qzj ~]# tail -1 /etc/rsyslog.conf
ocal2.debug     /var/log/sudo.log

4、重启syslog内核日志记录器

[root@qzj ~]# /etc/init.d/rsyslog restart
Shutting down system logger:                          [  OK  ]
Starting system logger:                             [  OK  ]

此时,会自动建立一个/var/log/sudo.log 文件(日志中配置的名字)并用文件权限为600,所有者和组均为root

5、测试sudo日志审计结果

本文以efg用户为例:

[root@qzj ~]# cat /etc/sudoers |grep efg      #查看suoders配置文件里efg用户的权限
efg     ALL=(ALL)       /bin/rm,/bin/userdel,/bin/touch
[efg@qzj ~]$ sudo mkdir kgk
[sudo] password for efg:
Sorry, user efg is not allowed to execute '/bin/mkdir kgk' as root on qzj.
#提示没有权限创建kgk文件
[efg@qzj ~]$ sudo touch 123kkk
[sudo] password for efg:
[efg@qzj ~]$ ls
12  123kdk  12kgdk  gxl

6、查看日志统计结果:

[root@qzj ~]# cat /var/log/sudo.log
Oct 13 18:48:48 : efg : command not allowed ; TTY=pts/2 ; PWD=/home/efg ;USER=root ; COMMAND=/bin/mkdir kgk
Oct 13 18:49:06 : efg : TTY=pts/2 ; PWD=/home/efg ; USER=root ;COMMAND=/bin/touch 123kkk
[efg@qzj ~]$ ls  #查看刚创建的文件123kkk

所谓日志审计,就是记录所有系统及相关用户行为的信息、并且可以自动分析、处理、展示(包括文本或者录像)

日志集中管理目前可以通过scp+定时任务任务来推到日志服务器上116.196.68.28上/root/aildata/uploadlog

[root@qzj ~]# scp -r /var/log/sudo.log  root@116.196.68.28:/root/alidata/uploadlog
root@116.196.68.28's password:     #此位置输入远程主机密码
sudo.log                                                                                    100%  832     0.8KB/s   00:00

日志收集解决方案:scribe,flume,stom,logstash

转载于:https://blog.51cto.com/cainiaibage/1972275

菜鸟学习之linux用户行为日志审计方案相关推荐

  1. linux审计日志发送,菜鸟学习之linux用户行为日志审计方案

    今天学习了了sudo日志审计,专门对使用sudo命令系统的用户记录其执行的相关命令信息 说明:所谓sudo命令日志审计,不记录普通用户操作,而是记录执行sudo命令的用户操作 1.安装sudo命令,s ...

  2. linux用户行为日志审计方案

    今天学习了了sudo日志审计,专门对使用sudo命令系统的用户记录其执行的相关命令信息 说明:所谓sudo命令日志审计,不记录普通用户操作,而是记录执行sudo命令的用户操作 1.安装sudo命令,s ...

  3. linux用户行为日志审计方案(sudo)

    今日笔记: 我们今天要学习的是:sudo日志审计,专门对使用sudo命令的系统用户记录其执行的命令相关信息. 说明:所谓sudo命令日志审计,并不记录普通用户的普通操作,而是记录,那些执行sudo命令 ...

  4. Linux 用户行为日志审计 日志监控

    所谓sudo命令日志审计,不记录普通用户操作,而是记录执行sudo命令的用户操作 1.查看安装sudo命令,syslog服务 rpm -qa |egrep "sudo|syslog" ...

  5. Linux 用户行为日志记录

    工作中我们常常遇到,有的员工不安于被分配的权限,老是想sudo echo "ziji" /usr/bin/visudo NOPASSWD:ALL来进行提权,造成误删了数据库某条重要 ...

  6. Linux用户登录日志查询

    # 1 utmp.wtmp.btmp文件 Linux用户登录信息放在三个文件中: 1 /var/run/utmp:记录当前正在登录系统的用户信息,默认由who和w记录当前登录用户的信息,uptime记 ...

  7. Auditbeat日志审计方案

    [架构] 整个架构分采集器和存储.查询三个部分. [采集器] 采集器使用Auditbeat进行审计日志采集. [存储] 采集后的日志直接输出到ElasticSearch,考虑到我们的日志较少切Audi ...

  8. linux 用户禁止登陆,禁止Linux用户登录方法

    我们在做系统维护的时候,希望个别用户或者所有用户不能登录系统,保证系统在维护期间正常运行.这个时候我们就要禁止用户登录. 1.禁止个别用户登录.比如禁止lynn用户登录. passwd -l lynn ...

  9. linux查询日志命令加过滤,Linux记录-筛选日志sed、find、tail,du,awk命令

    1.查看某一段时间的日志 #cat hdfs-audit.log | sed -n '/2018-04-11 10:00:00/,/2018-04-11 10:01:00/ p' | more   - ...

最新文章

  1. docker部署minio
  2. 开发日记-20190510
  3. 3 Useful BookmarkLets for Debugging
  4. docker swarm的应用----docker集群的构建
  5. const定义常量_go语言基本语法——常量constant
  6. mosek 安装配置python_Windows系统Python解释器的安装配置
  7. python文件传输模块_[宜配屋]听图阁 - python 使用poster模块进行http方式的文件传输到服务器的方法...
  8. 算法:Unix是如何简化路径的Simplify Path简化路径规则
  9. 当xshell关闭时如何保持一个jar包程序在后台运行
  10. 短视频源码应该优化的六个方面
  11. 西门子PLCSIM仿真PLC的网口连接与设置
  12. python程序运行进程、使用时间、剩余时间显示
  13. 面试常考题——LRU缓存题解
  14. 2016.7.14 noip2014模拟题 LGTB的日常~(自己乱安的名字hhh
  15. 硅谷之行 (21) 加州的天空
  16. 以太网物理层信号测试与分析
  17. FPGA入门经历的阶段
  18. 5000字 大数据时代读书笔记_大数据时代读书笔记
  19. Citrix_XenServer-6.1安装过程详解
  20. js控制网页动态效果

热门文章

  1. 设计模式之原型模式(Prototype)摘录
  2. OpenCV的cvLoadImage函数
  3. Java解决递归栈溢出_方法递归调用中java栈溢出的问题 及 解答 | 学步园
  4. elasticsearch 分片_Elasticsearch最佳实践之分片使用优化
  5. 无穷级数求和7个公式_双色球2019129期渗透围红蓝(6+1实战,附:7个双色球胆码公式)...
  6. java8 wordcount_Spark2.x与Java8下WordCount示例
  7. python 三分钟入门_Cython 三分钟入门教程
  8. jquery click 第一次没用_【通知】同济大学研究生会20202021学年第一次主席联席会...
  9. oracle rman实时备份吗,ORACLE-RMAN自动备份和恢复
  10. loadrunner 调用java_LoadRunner调用Java程序—性能测试