生產環境日志審計解決方案:
記錄所有系統及相關用戶行為的信息,並且可以自動分析,處理,展示
1.通過環境變量命令及syslog服務進行全部日志審計(信息太大,不推薦)
2.sudo配合syslog服務,進行日志審計(信息較少,效果不錯)
3.在bash解釋器程序嵌入一個監視器,讓所有被審計的系統用戶使用修改過的增加了監視器的bash程序作為解釋程序
4.商業產品
安裝sudo命令.syslog服務:rpm -qa|egrep "sudo|rsylog"
echo "Defaults logfile=/var/log/sudo.log">>/etc/sudoers
tail -l /var/log/sudo.log
echo "local2.debug /var/log/sudo.log">>/etc/rsyslog.conf
日志集中管理:
rsync+inotify 或定時任務+rsync,推送到日志管理服務器上ip_time_sudo.log
rsyslog服務來處理