1、启用/var/log/messages,监控系统命令
说明:由于需要把操作命令记录到/var/log/messages,但是ubuntu默认并没有开启日志写入到这个文件
tchua@ubuntu:~$ sudo vim /etc/rsyslog.d/50-default.conf
*.=info;*.=notice;*.=warn;
auth,authpriv.none;
cron,daemon.none;
mail,news.none -/var/log/messages
tchua@ubuntu:~$ sudo /etc/init.d/rsyslog restart
注:把上面几行代码注释取消,之前是注释掉的
2、把记录操作命令的语句写入环境变量配置文件
sudo vim /etc/profile
export PROMPT_COMMAND='{ msg=$(history 1 | { read x y; echo $y; });logger "[euid=$(whoami)]":$(who am i):[`pwd`]"$msg"; }'
sudo source /etc/profile #立即生效
3、测试查看
在窗口进行以下操作
tchua@ubuntu:~$ cd tchua@ubuntu:~$ mkdir ceshi tchua@ubuntu:~$ touch 1 tchua@ubuntu:~$ w
查看是否记录操作日志
Nov 10 10:26:17 ubuntu tchua: [euid=tchua]:tchua pts/1 2017-11-10 10:11 (192.168.2.180):[/home/tchua]cd Nov 10 10:26:23 ubuntu tchua: [euid=tchua]:tchua pts/1 2017-11-10 10:11 (192.168.2.180):[/home/tchua]mkdir ceshi Nov 10 10:26:27 ubuntu tchua: [euid=tchua]:tchua pts/1 2017-11-10 10:11 (192.168.2.180):[/home/tchua]touch 1 Nov 10 10:26:30 ubuntu tchua: [euid=tchua]:tchua pts/1 2017-11-10 10:11 (192.168.2.180):[/home/tchua]w Nov 10 10:26:31 ubuntu tchua: [euid=tchua]:tchua pts/1 2017-11-10 10:11 (192.168.2.180):[/home/tchua]ll
根据结果,可以看出,可以记录哪个用户,哪个客户端IP操作的什么命令。