Jor*_*hez 6 logs shell-script audit
这是我的同事们反复提出的问题。我们是一个多人团队,在相同的 Unix 和 Linux 服务器上工作。经常出现的问题是在 linux/unix 操作系统中是否有默认的日志或类似的东西,可以查看用户何时在服务器中启动 sh/ksh 脚本或任何其他可执行程序。
例如,Susanwrite.ksh在 10h23执行,Paulfiles_rights.sh在 11h03 执行./rename_files,Yves在 13h12执行。系统管理员正在休假,但他将在明天到达并想看看谁执行了什么以及他/她何时执行了该操作。
如果您启用了审核日志记录 ( auditd),您应该能够查询audit.log 文件以查看某人何时运行了命令 X。
$ sudo ausearch -x /usr/bin/sudo | head -5
----
time->Sat Dec 7 21:15:15 2013
type=USER_AUTH msg=audit(1386468915.558:419): pid=2189 uid=1000 auid=1000 ses=1 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='op=PAM:authentication acct="saml" exe="/usr/bin/sudo" hostname=? addr=? terminal=/dev/pts/0 res=success'
----
time->Sat Dec 7 21:15:15 2013
但请注意,您必须制定规则来监视特定的可执行文件或整个文件目录。但是auditd该软件可以报告非常精细的详细信息,例如给定 Linux 机器上正在使用哪些应用程序和文件对象。
| 归档时间: |
|
| 查看次数: |
507 次 |
| 最近记录: |