Ubuntu下rsyslog审计用户bash操作命令、收集、写入MySQL

服务端

2台服务端：10.25.109.64、10.45.18.133

1、rsyslog最新版本安装

sudo add-apt-repository ppa:adiscon/v8-stable 
sudo apt-get update
sudo apt-get install rsyslog

2、安装数据库

apt-get install rsyslog-mysql mysql-server -y#安装过程中会自动创建表

3、创建表结构 #使用show create table SysEvents,查看ommysql插件默认的建表sql,更改一下.

CREATE TABLE `BashEvents` (
  `ID` int(10) unsigned NOT NULL AUTO_INCREMENT,
  `ReceivedAt` datetime DEFAULT NULL,
  `DeviceReportedTime` datetime DEFAULT NULL,
  `Facility` smallint(6) DEFAULT NULL,
  `Priority` smallint(6) DEFAULT NULL,
  `FromHost` varchar(60) DEFAULT NULL,
  `Message` text,
  `EventUser` varchar(60) DEFAULT NULL,
  `InfoUnitID` int(11) DEFAULT NULL,
  `SysLogTag` varchar(60) DEFAULT NULL,
  PRIMARY KEY (`ID`)
) ENGINE=InnoDB AUTO_INCREMENT=1784 DEFAULT CHARSET=latin1

4、编辑配置文件

vim /etc/rsyslog.d/50-default.conf

$ModLoad ommysql
#bash_log
$template bash_mysql_insert,"insert into BashEvents (Message, Facility, FromHost,Priority, DeviceReportedTime, ReceivedAt, InfoUnitID, SysLogTag,EventUser) values('%msg:F,124:6%', %syslogfacility%, '%HOSTNAME%', %syslogpriority%,'%timereported:::date-mysql%', '%timegenerated:::date-mysql%', %iut%,'%syslogtag%','%msg:F,124:4%');",SQL
$template Bash-history,"/var/log/remote_log/bash-log/%hostname%_%fromhost-ip%_log_%app-name%_%$YEAR%-%$MONTH%-%$DAY%.log"
if ($msg contains "normal" and $app-name == "bash-log")  then {
        action(type="omfile" DynaFile="Bash-history")
        action(type="ommysql" server="localhost" serverport="3306" db="Syslog" uid="rsyslog" pwd="123.com" template="bash_mysql_insert")
        stop
}

5、相关说明

"%msg:F,124:4%":  代表将msg信息以|为分割,取出第四个区域的内容,F代表分割,124是|的ASCII码
"%msg:1:2%":   读取从pos从1到2的数据
"%msg:::lowercase%" :将整个消息转换为小写
"%msg:10:$%" : 截取pos从10到最后的消息内容
"%msg:R:.*Sev:. (.*) [.*–end%" : 取"*Sev:."和[.*之间内的所有内容
------------------------------------------------------------------------------
R,<regexp -type>,<submatch>,<nomatch>,<match -number>
regexp-type :
------------------------------------------------------------------------------
-->"BRE" (基本的正则表达式)或"ERE" (扩展的正则表达式)
0-9是标识submatch的，0标识所有内容，1-9标识相应序号的内容。(和shell类似，其实就是正则表达式中括号的用法)
如果相同的实例被匹配到，那么第一个匹配的是0，之后的匹配依次排列
-->nomatch ：
标识没有匹配到的时候写什么
实例：
    "%msg:R,ERE,1,FIELD:for (vlan[0-9]*):--end%"
    "%msg:R,ERE,1,FIELD,1:for (vlan[0-9]*):--end%"
"F,44" : 设置分隔符(用ACSII表示)，针对分隔符，在引用时，0代表没找到，匹配的实例从1开始数
"%msg:F,59:3%" : 以分号为分隔符，提取第三个区域的内容
"%msg:F,59,5:3,9%" : 以分号为分隔符，从第5个子串中，提取3-6位的字符
"%msg:F,32+:2%" : 如果多个分隔符(比如：日志中有n个空格作为分割，那么可以添加一个+)

　　

客户端

1、rsyslog最新版本安装

sudo add-apt-repository ppa:adiscon/v8-stable 
sudo apt-get update
sudo apt-get install rsyslog

2、创建相关关键目录以及授权

mkdir -p /usr/share/.history
chmod 777 /usr/share/.history
chattr +a /usr/share/.history

3、在/etc/profile中写入以下内容

USER_IP=`who -u am i 2>/dev/null|awk '{print $NF}'|sed -e 's/[()]//g'`
HISTDIR=/usr/share/.history
if [ -z $USER_IP ]
then
USER_IP=`hostname`
fi
if [ ! -d $HISTDIR ]
then
mkdir -p $HISTDIR
chmod 777 $HISTDIR
fi
export HISTSIZE=9999
DT=`date +%Y%m%d_%H%M%S`
export HISTFILE="$HISTDIR/${LOGNAME}.${USER_IP}.history.$DT"
original_user=${SUDO_USER:-$(pstree -Alsu "$$" | sed -n "s/.*(([^)]*)).*($USER)[^(]*$/1/p")}
export HISTTIMEFORMAT="|normal|%F %T|${original_user:-$USER}|$$|"
chmod 644 %HISTDIR/${LOGNAME}.*.histroy* 2>/dev/null
export PROMPT_COMMAND='builtin history 1 >> $HISTFILE'

4、在rsyslog.d中写一个配置文件

vim bash.conf
module(load="imfile" PollingInterval="1")
input(type="imfile" File="/usr/share/.history/*history*" 
Tag="bash-log"
Facility="local7"
Severity="debug"
deleteStateOnFileDelete="on"
)
local7.* @10.25.109.64:514
local7.* @10.45.18.133:514

5、重新加载profile文件

source /etc/profile

6、重启rsyslog

/etc/init.d/rsyslog restart