我们的小公司运行 Ubuntu Server 11.10,有几个人可以通过 SSH 访问。有时也会使用实际的终端。我们如何在本地记录所有运行的 Bash 命令以及用户和时间戳?
我们可以假设没有人是邪恶的并且积极地试图避免日志记录,但我们仍然希望用户不要直接写入他们的日志文件。必须正确处理同时进行的会话。
小智 38
对于 BASH shell,编辑系统范围的 BASH 运行时配置文件:
sudo -e /etc/bash.bashrc
附加到该文件的末尾:
export PROMPT_COMMAND='RETRN_VAL=$?;logger -p local6.debug "$(whoami) [$$]: $(history 1 | sed "s/^[ ]*[0-9]\+[ ]*//" ) [$RETRN_VAL]"'
使用新文件为“local6”设置日志记录:
sudo -e /etc/rsyslog.d/bash.conf
而内容...
local6.* /var/log/commands.log
重启 rsyslog:
sudo service rsyslog restart
登出。登录。瞧!
但我忘记了日志轮换:
sudo -e /etc/logrotate.d/rsyslog
有一个日志文件列表以相同的方式旋转......
/var/log/mail.warn
/var/log/mail.err
[...]
/var/log/message
因此,在该列表中添加新的 bash-commands 日志文件:
/var/log/commands.log
节省。
进程记帐系统在这方面可能会有所帮助,特别是提供lastcomm 和ac 命令的acct包。
ac 命令打印有关用户连接时间的统计信息(以小时为单位)。这是用户通过 SSH 或串行终端远程连接或在控制台上连接到系统的时间量。
lastcomm 命令显示有关先前执行的命令的信息。最新条目显示在列表顶部。还显示每个进程使用的 CPU 时间总量。
一个可能有用的旧教程在这里:
http://www.linuxjournal.com/article/6144?page=0,1
其他记帐命令如last等可以在本教程中找到:
http://www.techrepublic.com/article/system-accounting-in-linux/1053377
| 归档时间: |
|
| 查看次数: |
92956 次 |
| 最近记录: |