上面脚本在系统的/var/log/.history下新建个history目录,记录所有登陆过系统的用户和IP地址(文件名),每当用户登录/退出会创建相应的文件,该文件保存这段用户登录时期内操作历史,可以用这个
vim /etc/profile.d/history.sh USER_IP=`who -u am i 2>/dev/null | awk '{print $NF}' | sed -e 's/[()]//g'` HISTDIR=/var/log/.history DT=`date +%Y%m%d` LogTime=`date +%Y%m%d_%H%M%S` if [ -z $USER_IP ] then USER_IP=`hostname` fi if [ ! -d $HISTDIR ] then mkdir -p $HISTDIR chmod 777 $HISTDIR fi if [ ! -d $HISTDIR/${LOGNAME}/${DT}/ ] then mkdir -p $HISTDIR/${LOGNAME}/${DT}/ chmod 300 $HISTDIR/${LOGNAME} fi if [ ! -f $HISTDIR/${LOGNAME}/${DT}/$USER_IP ] then touch $HISTDIR/${LOGNAME}/${DT}/$USER_IP chmod 600 $HISTDIR/${LOGNAME}/${DT}/$USER_IP fi export HISTSIZE=4000 export HISTTIMEFORMAT="%T " export HISTORY_FILE="$HISTDIR/${LOGNAME}/$DT/${USER_IP}" export PROMPT_COMMAND='{ thisHistID=`history 1|awk "{print \$1}"`;lastCommand=`history 1| awk "{\$1="" ;print}"`;logTime=${whoStr[4]};if [ ${thisHistID}x != ${lastHistID}x ];then echo -E $lastCommand ;lastHistID=$thisHistID;fi; } >> $HISTORY_FILE' export HISTFILE="$HISTDIR/${LOGNAME}/$DT/${USER_IP}.${LogTime}"
还有一种方案:这个方案会在每个用户退出登录 时把用户所执行的每一个命令都发送给日志守护进程rsyslogd,你也可通过配置“/etc/rsyslog.conf”进一步将日志发送给日志服务器:
操作如下: 把下面内容添加到/etc/profile文件底部 [root@elk-node1 ~]# vim /etc/profile.d/.history ........ #设置history格式 export HISTTIMEFORMAT="[%Y-%m-%d %H:%M:%S] [`who am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'`] " #登录时清空当前缓存 echo "" > .bash_history #记录shell执行的每一条命令 export PROMPT_COMMAND=' if [ -z "$OLD_PWD" ];then export OLD_PWD=$PWD; fi; if [ ! -z "$LAST_CMD" ] && [ "$(history 1)" != "$LAST_CMD" ]; then logger -t `whoami`_shell_cmd "[$OLD_PWD]$(history 1)"; fi ; export LAST_CMD="$(history 1)"; export OLD_PWD=$PWD;'