Linux下记录所有用户的操作命令，以方便后期审计

再后面追加：

桃江网站制作公司哪家好，找成都创新互联！从网页设计、网站建设、微信开发、APP开发、成都响应式网站建设公司等网站项目制作，到程序开发，运营维护。成都创新互联从2013年成立到现在10年的时间，我们拥有了丰富的建站经验和运维经验，来保证我们的工作的顺利进行。专注于网站建设就选成都创新互联。

保存退出后，执行 source /etc/profile 让配置生效。

所有操作命令记录存放在/var/log/cmd/{用户}/目录下，即使是同一个终端几个不同的窗口，在该窗口退出或关闭时，该用户目录下会生产一个文件，多个窗口会生产多个文件，最后只要查看这些文件内容，就可以看出历史操作了。

本文转自：

ELK linux主机操作命令审计

PROMPT_COMMAND环境变量的作用是，在每一次执行命令之前都会执行此环境变量。

审计的原理是：

Linux 主机审计

Linux 主机审计

Linux操作系统可以通过设置日志文件可以对每个用户的每一条命令进行纪录，不过这一功能默认是没有打开的。

开启这个功能的过程：

# touch /var/log/pacct

# action /var/log/pact

也可以用自已的文件来代替/var/log/pacct这个文件。但必须路径和文件名的正确。

sa命令与 ac 命令一样，sa 是一个统计命令。该命令可以获得每个用户或每个命令的进程使用的大致情况，并且提供了系统资源的消费信息。在很大程度上，sa 又是一个记帐命令，对于识别特殊用户，特别是已知特殊用户使用的可疑命令十分有用。另外，由于信息量很大,需要处理脚本或程序筛选这些信息。

lastcomm命令, 与 sa 命令不同，lastcomm 命令提供每一个命令的输出结果，同时打印出与执行每个命令有关的时间印戳。就这一点而说，lastcomm 比 sa 更有安全性。如果系统被入侵，请不要相信在 lastlog、utmp、wtm中记录的信息，但也不要忽略，因为这些信息可能被修改过了。另外有可能有人替换了who程序来掩人耳目。通常，在已经识别某些可疑活动后，进程记帐可以有效的发挥作用。使用 lastcomm 可以隔绝用户活动或在特定时间执行命令。

3、使用logrorate对审计文件管理

/var/log/utmp，/var/log/wtmp和/var/log/pacct文件都是动态的数据文件。wtmp和pacct文件是在文件尾部不断地增加记录。在繁忙的网络上，这些文件会变得很大。Linux提供了一个叫logrotate的程序，它允许管理员对这些文件进行管理。

Logrotate读取/etc/logrotate.d目录下的文件。管理员通过该目录下的脚本文件，控制logrotate程序的运作。一个典型的脚本文件如下：

{

rotate 5

weekly

errors root@serve1r

mail root@server1

copytruncate

compress

size 100k

}

脚本文件的含义如下：

● rotate 5——保留该文件一份当前的备份和5份旧的备份。

● weekly——每周处理文件一次，通常是一周的第一天。

● errors——向邮件地址发送错误报告。

● mail——向邮件地址发送相关的信息。

● copytruncate——允许进程持续地记录，备份文件创建后，把活动的日志文件清空。

● compress——使用gzip工具对旧的日志文件进行压缩。

● size 100k——当文件超过100k 时自动处理。

Wazuh功能——审计 who-data

审核who-data

新版本3.4.0。

从3.4.0版本开始，Wazuh集成了一项新功能，可以从监控文件中获取who-data。

此信息包含对监控文件进行更改的用户，以及用于执行这些更改的程序名或进程。

一、在Linux中审计who-data

who-data监视功能使用Linux审计子系统获取关于谁在监视目录中进行了更改的信息。这些更改产生审计事件，这些审计事件由syscheck处理并报告给经理。

1、配置

首先，我们需要检查审计守护进程是否安装在我们的系统中。

在基于RedHat的系统中，Auditd通常是默认安装的。如果没有安装，我们需要使用以下命令进行安装:

# yum install audit

对于基于Debian的系统，请使用以下命令:

# apt install auditd

下一步是配置syscheck，以便在我们的ossec.conf文件的所选文件夹中启用whodata监视:

添加此配置后，我们需要重新启动Wazuh来应用更改。

我们可以检查是否应用了用于监视所选文件夹的审计规则。要检查这一点，我们需要执行以下命令

# auditctl -l | grep wazuh_fim

并检查是否添加了规则

当代理停止时，我们可以使用相同的命令检查添加的规则是否已成功删除。

2、警报字段

当启用whodata时，在FIM警报中接收到以下字段:

3、警报的例子

在下面的示例中，我们可以看到用户Smith是如何向文件/etc/hosts.添加新IP的允许使用具有sudo权限的nano编辑器:

日志格式警告:

JSON格式的警告:

二、在Windows中审计who-data

1、它是如何工作的

who-data监视功能使用Microsoft Windows审计系统获取关于谁在监视目录中进行了更改的信息。这些更改产生审计事件，这些审计事件由syscheck处理并报告给管理者。兼容大于Windows Vista的系统。

2、配置

要在whodata模式下启动监视，必须正确配置要监视的目录的SACL。Wazuh在启动ossec.conf文件中标记whodata="yes"的目录时自动执行此任务:

系统审计策略也需要正确配置。对于大多数受支持的Windows系统，这部分也是自动完成的。如果您的系统优于Windows Vista，但审计策略无法自配置，请参阅配置本地审计策略指南。

三、警报字段

启用whodata时，将收到以下字段:

四、警报的例子

日志格式警告:

JSON格式的警告:

Linux操作审计形式有什么？怎么能够对Linux操作行为实现有效审计？

对于Linux操作审计，当前主要有两种形式。

一种是，通过收取linux操作系统上的日志，来进行审计。优点是全面，内容是零散，缺乏直观性，一般需要专业的软件来收集和呈现，同时由于容易被删除，可能导致关键审计信息缺失问题，以及由于共享账号问题，导致无法定位到人。

另一种是，通过碉堡堡垒机软件来实现审计。优点是全面直观，可以关联到人，确定是只能对远程运维操作进行审计，无法对直接登录操作进行审计。

Linux自带的审计功能

Linux自带的script命令，可以记录终端的输出，用来完成简单的审计功能

这样用户登陆后执行的操作都会记录到/mnt/log/script/*.log（目录自己根据服务器目录定义）里，这里把用户ID 大于1000的都记录下操作。

新闻名称：如何审计linux命令,ubuntu查看审计命令
网页地址：http://myzitong.com/article/hogosh.html