实时用户操作审计系统

【概述】:多人共同使用的服务器权限确实不好管理,误操作等造成故障,无法追究,最好的办法就是将用户操作实时记录到日志,并推送到远程日志服务器上。包括(用户登陆时间,目录,操作命令及时间戳等)。以便事后追查。 -----这段网上抄的 - -

   方案:就是将这些操作记录到本地文件,然后在通过fluentd收集到远程日志服务器上,实现伪实时。跟上文一样,可以直接存到Elasticsearch,然后使用kibana直接展示方便。

   为了方便二次开发,这次将日志存到了mongodb,当然也可以存到mysql(本文不讨论这个哈)

--------------------

   1,先实现记录修改到本地文件

   (1)修改/etc/profile

export PROMPT_COMMAND='{ date "+%Y-%m-%d %T $(ifconfig | grep eth -A 1 | grep "192.168" | grep -oP "(?<=addr:)[\d\.]+") $(who am i |awk "{print \$1\" \"\$2\" \"\$3\" \"\$4\" \"\$5}") [`pwd`] $(history 1 | { read x cmd; echo "$cmd"; })"; } >> /var/log/audit.log'

   (2)执行source /etc/profile

记录到本地格式的文件内容如下:

实时用户操作审计系统

内容格式:记录时间 本地IP 用户 终端 登录时间 来源 所在目录 执行命令

注意:其他用户必须对audit.log有写入权限

2,收集到mongodb  

   fluentd客户端配置如下:                    

<source>
  type tail
  format /^(?<time>\d{4}-\d{1,2}-\d{1,2} \d{1,2}:\d{1,2}:\d{1,2}) (?<src>[^ ]*) (?<user>[^ ]*) (?<zhongduan>[^ ]*) (?<logintime>\d{4}
-\d{1,2}-\d{1,2} \d{1,2}:\d{1,2}) \((?<dst>[^ ]*)\) \[(?<pwd>[^\]]*)\] (?<cmd>.*)?$/
  path /var/log/audit.log
  pos_file /var/log/td-agent/audit.pos
  tag mongo.fluent.audit
</source>

  fluentd服务器端和上篇文章类似

记录到mongodb中的内容如下:

实时用户操作审计系统

到此结束。。。。

更多相关文章
  • Linux用户空间审计系统
    一.Linux用户空间审计系统简介 Linux内核有用日志记录事件的能力,比如记录系统调用和文件访问.然后管理员可以评审这些日志,确定可能存在的安全漏洞,比如失败的登录尝试,或者用户对系统文件不成功的访问.这种功能称为Linux用户空间审计系统,在Red Hat Enterprise Linux 5 ...
  • linux对普通用户操作审计
    前言:    最近一直在用python开发审计系统,今天无意之间找到了一个特别好用的小工具,本人盛世欢喜,特推荐给大家.使用script和scriptreplay 这两个命令记录用户的所有操作,并提供录像功能.好了废话不多说了,马上开始配置吧,其实很简单.实践:     操作系统:Centos6.5 ...
  • 一.合理使用Shell历史命令记录功能Linux下可通过history命令查看用户所有历史操作记录,同时shell命令操作记录默认保存在用户目录下的.bash_history文件中,有时候黑客会删除.bash_history文件,这就需要合理备份.bash_history文件.下面介绍下histor ...
  • 群里面有个朋友提了这样的两个问题,1.如何看到系统中的用户什么时间对密码进行了修改2.如何知道某个用户,什么时间登录过系统,什么时间退出系统,在这段时间做了哪些操作.第一个脚本是写出来了,但是通过history来监控的,可是这个history又不是实时的,只有在用户退出后才记录内容,而且,这个文件用 ...
  •  一.查看及管理当前登录用户1.使用w命令查看登录用户正在使用的进程信息,w命令用于显示已经登录系统的用户的名称,以及他们正在做的事.该命令所使用的信息来源于/var/run/utmp文件.w命令输出的信息包括:用户名称用户的机器名称或tty号远程主机地址用户登录系统的时间空闲时间(作用不大)附加到 ...
  • 在oracle 11gR2中,缺省在audit_file_dest目录会记录sys用户的登录审计信息,但并不会审计操作内容.启用对sys用户操作行为的审计SQL> alter system set audit_sys_operations=TRUE scope=spfile;System al ...
  •  京华科讯桌面审计系统软件产品优势功能描述桌面审计系统软件有效的对员工工作行为和工作内容进行监管.支持本地存储,即使受控客户端断网也能够继续录屏.桌面审计系统采用参数模板配置系统,提供给管理人员非常灵活的配置策略,捕获参数包括录屏参数(绝对或相对尺寸.比例.压缩率等),计划时间等.监控方式多样,可以 ...
  • [摘要]本文分析了日志审计的需求,并针对日志审计系统的选型给出了一套基本的评价指标.日志审计系统的需求分析日志很早就有,日志对于信息安全的重要性也早已众所周知,但是对日志的真正重视却是最近几年的事情.当今的企业和组织在IT信息安全领域面临比以往更为复杂的局面.这既有来自于企业和组织外部的层出不穷的入 ...
一周排行