生产环境日志审计解决方案:
记录所有系统及相关用户行为的信息,并且可以自动分析,处理,展示
1.通过环境变量命令及syslog服务进行全部日志审计(信息太大,不推荐)
2.sudo配合syslog服务,进行日志审计(信息较少,效果不错)
3.在bash解释器程序嵌入一个监视器,让所有被审计的系统用户使用修改过的增加了监视器的bash程序作为解释程序
4.商业产品
安装sudo命令.syslog服务:rpm -qa|egrep "sudo|rsylog"
echo "Defaults logfile=/var/log/sudo.log">>/etc/sudoers
tail -l /var/log/sudo.log
echo "local2.debug /var/log/sudo.log">>/etc/rsyslog.conf
日志集中管理:
rsync+inotify 或定时任务+rsync,推送到日志管理服务器上ip_time_sudo.log
rsyslog服务来处理