生產環境日志審計解決方案
所謂的日志審計,就是記錄所有系統及相關的用戶行為,並且可以自動分析、處理、展示(包括文本或者錄像)
1) :通過環境變量以及rsyslog服務進行全部日志審計(信息太大,不推薦)
2) sudo配置rsyslog服務,進行日志審計(信息較少,效果不錯)
3) 在bash解釋器中嵌入一個監視器,讓所有被審計的系統用戶使用修改過的增加監視器的特殊bash程序作為解釋程序。
4) 齊治的堡壘機:商業產品
在此文檔中,我們學習第二種方法:sudo的日志審計,所謂的suod的日志審計,並不記錄普通用戶的操作,只記得執行sudo命令的操作
1安裝sudo和syslog服務
使用yum等命令在在線安裝sudo和syslog服務(在centos6.4中syslog為rsyslog服務)
2配置/etc/sudoers
在/etc/sudoers中配置下面這一行配置
Defaults logfile=/var/log/sudo.log
3配置系統日志/etc/(r)syslog.conf
在/etc/syslog.conf中添加下面一行的配置文件
local2.debug /var/log/sudo.log
4重啟syslog服務
/etc/init.d/rsyslog restart
然后在/var/log/sudo.log 中就可以發現使用sudo命令的用戶。
經過測試這是一個很實用的方法。