Linux利用PROMPT_COMMAND實現審計功能

這個系統審計，記錄什麼使用者，在什麼時間，做了什麼操作。 然後將查到的資訊記錄到一個檔案裡。

一. 配置

 

1. 在/etc/profile 檔案的最後，添加如下2行代碼：

 

 

 

export HISTORY_FILE=/var/log/`date ‘+%Y%m’`.log 

export PROMPT_COMMAND=’{ date “+%Y-%m-%d %T ##### $(who am i |awk “{print \$1\” \”\$2\” \”\$5}”)  #### $(history 1 | { read x cmd; echo “$cmd”; })”; } >> $HISTORY_FILE’ 

添加完成儲存退出。這樣任何操作命令都會在/var/log/日期.log中看到。還可以自己定義目錄或者檔案。讓別人找不到 只允許自己看。只需要修改

 

export HISTORY_FILE=/var/log/`date ‘+%Y%m’`.log  這個記錄就可

/etc/profile: 此檔案為系統的每個使用者佈建環境資訊,當使用者第一次登入時,該檔案被執行.並從/etc/profile.d目錄的設定檔中搜集shell的設定.

 

[root@node1 ~]#. /etc/profile 或者   [root@node1 ~]#source /etc/profile

 使更改生效，如果沒有報錯說明成功了。

 

驗證日誌裡面是否有資料

 

 

 

[root@node1 ~]# more /var/log/201107.log

2011-07-21 17:29:08 ##### root pts/2 (192.168.23.250)  #### . /etc/profile

可以看到裡面已經有資料。

 

還可以使用

 

 

 

PROMPT_COMMAND=’{ date “+%Y-%m-%d %T ##### USER:$USER IP:$SSH_CLIENT PS:$SSH_TTY #### $(history 1 | { read x cmd; echo “$cmd”; })”; } >>$HISTORY_FILE’

命令不一樣但是結果是一樣的。

 

本文出自 “badboy” 部落格