Linux中多种方法实时记录历史命令

本文涉及的产品
日志服务 SLS,月写入数据量 50GB 1个月
简介: 系统中的历史命令对于后期排除故障非常有用。一般都需要把历史命令给保存起来。

系统中的历史命令对于后期排除故障非常有用。一般都需要把历史命令给保存起来。
方法1:
实时记录历史命令到bash_history,不记录日志文件中
[root@bing~]#vim /etc/bashrc
export HISTTIMEFORMAT='%F %T ' #让历史命令记录操作时间
export HISTSIZE=1000000 #设置保存历史命令条数
export HISTFILESIZE=1000000 #设置保存历史命令的文件大小
shopt -s histappend
PROMPT_COMMAND='history -a' #实时记录历史命令,防止丢失
优点:简单方便,易设置
缺点:安全性较差,多用户下,只能分别记录到各自的.bash_history中,没有统一管理

方法2:
实时记录历史命令到自定义文件中,不记录日志文件中
[root@bing~]#vim /etc/bashrc
export HISTORY_FILE=/var/.history/date '+%y-%m-%d'.log #自定义历史命令保存文件
export PROMPT_COMMAND=' { date "+%Y-%m-%d %T - USER:$USER IP:$SSH_CLIENT PS:$SSH_TTY - $(history 1 | { read x cmd; echo "$cmd"; })"; } >> $HISTORY_FILE'

把所有用户的登录时间、登录地址、操作记录统一记录到指定文件中

优点:可随意更改存放地址,隐蔽性高,记录多用户操作
缺点:安全性还是不高,非法用户还是可能找到并进行删除

方法3:(推荐)
实时记录历史命令,并记录到日志文件中
[root@bing~]#vim /etc/bashrc
export PROMPT_COMMAND='history -a { command=$(history 1 | { read x y;echo $y; } );logger -p local1.notice -t bash -i "user=$USER,ppid=$PPID,from=$SSH_CLIENT,pwd=$PWD,command:$command " }'

[root@bing~]#vim /etc/syslog.conf
local1.notice /var/log/cmd.log
优点:记录到日志中,配合日志服务器,可把日志传送过去,安全性高

方法4:(这个方法我未实际操作过,以下引用别人的实验)
利用bash的新特性来记录历史命令,可记录到日志文件中
使用bash4.1的新功能:历史命令保存到syslog!然后使用syslog-ng构建集中型日志服务器收集主机日志。
1 下载bash:

wget http://ftp.gnu.org/gnu/bash/bash-4.1.tar.gz

tar zxvf bash-4.1.tar.gz –C /usr/local/bash-4.1

cd /usr/local/bash-4.1

2 修改参数(根据个人需要,我只保留了pid,uid,sid等,参数请看目录下的shell.c中):
文件bashhist.c大约708行的位置开始,修改成以下一段:
syslog (SYSLOG_FACILITY|SYSLOG_LEVEL,"HISTORY: PID=%d PPID=%d SID=%d User=%s CMD=%s", getpid(),getppid(), getsid(getpid()), current_user.user_name, line);
else
{
strncpy (trunc, line, SYSLOG_MAXLEN);
trunc[SYSLOG_MAXLEN -1]='0';
syslog (SYSLOG_FACILITY|SYSLOG_LEVEL,"HISTORY (TRUNCATED): PID=%d PPID=%d SID=%d User=%s CMD=%s", getpid(),getppid(), getsid(getpid()), current_user.user_name, trunc);
}
注:ppid:bash父进程号
Sid: 跟踪 su 切换后的进程号
第二段代表log长度超过600后使用的语句
3 去掉config-top.h中define SYSLOG_HISTORY的注释。
结果如下:

define SYSLOG_HISTORY

4 编译安装

./configure & make && make install

5 修改用户配置:
将用户的bash换成现在的bash4.1

vi /etc/passwd

dongwm:x:501:501::/home/dongwm:/usr/local/bash_4.1/bin/bash
这样日志就会记在/var/log/messages

结果类似这样:
Dec 2317:40:28 server -bash: HISTORY: PID=4089 PPID=4088 SID=4089 User=dongwm CMD=exit
……
在整个环境布置了记录功能,就能方便的查出来谁-在何时,用什么账号,做了什么操作…

6 主机syslog配置(添加日志服务器的地址)

vi /etc/syslog.conf

在最后添加一列:
. @server.dongwm.com(你的日志服务器的地址)

相关实践学习
日志服务之使用Nginx模式采集日志
本文介绍如何通过日志服务控制台创建Nginx模式的Logtail配置快速采集Nginx日志并进行多维度分析。
相关文章
|
1月前
|
Linux 网络安全 数据安全/隐私保护
Linux 超级强大的十六进制 dump 工具:XXD 命令,我教你应该如何使用!
在 Linux 系统中,xxd 命令是一个强大的十六进制 dump 工具,可以将文件或数据以十六进制和 ASCII 字符形式显示,帮助用户深入了解和分析数据。本文详细介绍了 xxd 命令的基本用法、高级功能及实际应用案例,包括查看文件内容、指定输出格式、写入文件、数据比较、数据提取、数据转换和数据加密解密等。通过掌握这些技巧,用户可以更高效地处理各种数据问题。
95 8
|
1月前
|
监控 Linux
如何检查 Linux 内存使用量是否耗尽?这 5 个命令堪称绝了!
本文介绍了在Linux系统中检查内存使用情况的5个常用命令:`free`、`top`、`vmstat`、`pidstat` 和 `/proc/meminfo` 文件,帮助用户准确监控内存状态,确保系统稳定运行。
276 6
|
16天前
|
Linux Shell
Linux 10 个“who”命令示例
Linux 10 个“who”命令示例
45 14
Linux 10 个“who”命令示例
|
5天前
|
Ubuntu Linux
Linux 各发行版安装 ping 命令指南
如何在不同 Linux 发行版(Ubuntu/Debian、CentOS/RHEL/Fedora、Arch Linux、openSUSE、Alpine Linux)上安装 `ping` 命令,详细列出各发行版的安装步骤和验证方法,帮助系统管理员和网络工程师快速排查网络问题。
61 20
|
5天前
|
网络协议 Linux 应用服务中间件
kali的常用命令汇总Linux
kali的常用命令汇总linux
26 7
|
25天前
|
Linux 数据库
Linux中第一次使用locate命令报错?????
在Linux CentOS7系统中,使用`locate`命令时出现“command not found”错误,原因是缺少`mlocate`包。解决方法是通过`yum install mlocate -y`或`apt-get install mlocate`安装该包,并执行`updatedb`更新数据库以解决后续的“can not stat”错误。
31 9
|
23天前
|
监控 网络协议 Linux
Linux netstat 命令详解
Linux netstat 命令详解
|
29天前
|
运维 监控 网络协议
运维工程师日常工作中最常用的20个Linux命令,涵盖文件操作、目录管理、权限设置、系统监控等方面
本文介绍了运维工程师日常工作中最常用的20个Linux命令,涵盖文件操作、目录管理、权限设置、系统监控等方面,旨在帮助读者提高工作效率。从基本的文件查看与编辑,到高级的网络配置与安全管理,这些命令是运维工作中的必备工具。
118 3
|
1月前
|
存储 运维 Linux
如何在 Linux 系统中使用 envsubst 命令替换环境变量?
`envsubst` 是 Linux 系统中用于替换文本中环境变量值的实用工具。本文分三部分介绍其工作原理、使用方法及实际应用,包括配置文件替换、脚本执行中环境变量替换和动态生成文件等场景,帮助用户高效利用 `envsubst` 进行开发和运维工作。
52 4
|
1月前
|
Linux
在 Linux 系统中,`find` 命令
在 Linux 系统中,`find` 命令
34 1