发帖
雷达卡
# 用户操作行为审计功能配置(Linux系统) ## 1. 审计日志记录配置 通过修改全局环境配置文件,实现对用户操作命令的自动记录。将以下内容添加至系统的环境配置文件中: 文件路径:/etc/profileexport HISTORY_FILE=/var/log/usermonitor/usermonitor.log export PROMPT_COMMAND='{ date "+%y-%m-%d %T ##### $(who am i | awk "{print \$1\" \"\$2\" \"\$5}") #### $(whoami) #### $(history 1 | { read x cmd; echo "$cmd"; })"; }' >> $HISTORY_FILE'该配置会在每次用户执行命令后,自动将时间、登录信息、实际执行的命令等内容追加写入指定日志文件中。 ## 2. 日志轮转与备份脚本 为避免日志文件无限增长,需设置定时任务进行日志分割归档。建议配置每日执行一次日志备份。 ### 定时任务配置(crontab)59 23 * * * sh /var/log/usermonitor/backup/monitor_backup.sh > /dev/null 2>&1 &### 脚本内容:monitor_backup.sh#!/bin/bash # 功能说明:监控日志文件的定期备份处理 DATE=$(date +%Y%m%d%H%M%S) LOG_PATH="/var/log/usermonitor" # 暂时取消文件追加保护属性 chattr -a ${LOG_PATH}/usermonitor.log # 移动当前日志为带时间戳的归档文件 mv ${LOG_PATH}/usermonitor.log ${LOG_PATH}/backup/usermonitor.log-${DATE} # 创建新的空日志文件用于后续记录 echo "usermonitor" > ${LOG_PATH}/usermonitor.log # 设置文件属主和权限 chown nobody:nobody ${LOG_PATH}/usermonitor.log chmod 002 ${LOG_PATH}/usermonitor.log # 重新启用仅允许追加写入的属性 chattr +a ${LOG_PATH}/usermonitor.log此脚本确保日志在轮转过程中不丢失,并通过文件属性控制防止被恶意篡改。 ## 3. 相关命令说明 - who:显示当前所有已登录系统的用户会话信息。 - whoami:输出当前正在执行命令的用户名。 - who am i:显示发起当前终端连接的用户详细信息,包括终端类型和登录时间等。 上述命令组合使用可精确识别操作来源,提升审计日志的可追溯性与准确性。
京公网安备 11010802022788号
