使用syslog记录Linux操作历史(history)
2012-06-18 23:15:28   来源：我爱运维网   评论：0 点击：

如何将Linux下操作命令历史(history)记录到syslog上面，并实时的传送到了远端的日志集中服务器上?

方法：使用bash4.1的新功能：历史命令保存到syslog！然后使用syslog-ng构建集中型日志服务器收集主机日志。

1、下载bash：

#wget http://ftp.gnu.org/gnu/bash/bash-4.1.tar.gz

#tar zxvf bash-4.1.tar.gz –C /tmp/bash-4.1

#cd /tmp/bash-4.1

2、修改源码

(根据个人需要，我只保留了pid，uid，sid等，参数请看目录下的shell.c中)：

文件bashhist.c大约708行的位置开始，修改成以下一段：

1 syslog (SYSLOG_FACILITY|SYSLOG_LEVEL, "HISTORY: PID=%d PPID=%d SID=%d  User=%s CMD=%s", getpid(), getppid(), getsid(getpid()),  current_user.user_name, line);

2 else

3 {

4 strncpy (trunc, line, SYSLOG_MAXLEN);

5 trunc[SYSLOG_MAXLEN - 1] = '\0';

6 syslog (SYSLOG_FACILITY|SYSLOG_LEVEL, "HISTORY (TRUNCATED): PID=%d  PPID=%d SID=%d User=%s CMD=%s", getpid(), getppid(), getsid(getpid()),  current_user.user_name, trunc);

7 }

注：

ppid：跟踪sh切换后的用户

Sid： 跟踪 su 切换后的用户

第二段代表log长度超过600后使用的语句

修改config-top.h文件

1 /*#define SYSLOG_HISTORY*/

2 修改为

3 #define SYSLOG_HISTORY

编译安装

# ./configure –prefix=/usr/local/bash_4.1 && make && make install

修改用户配置：

将用户的bash换成现在的bash4.1

# vi /etc/passwd

linkboy:x:501:501::/home/linkboy:/usr/local/bash_4.1/bin/bash

这样日志就会记在/var/log/messages

结果类似这样：

Dec 23 17:40:28 server -bash: HISTORY: PID=4089 PPID=4088 SID=4089 User=linkboy CMD=exit

Dec 23 17:41:47 server -bash: HISTORY: PID=4282 PPID=4278 SID=4282 User=root CMD=exit

……

在整个环境布置了记录功能，就能方便的查出来谁-在何时，用什么账号，做了什么操作…

3、主机syslog配置（添加日志服务器的地址）

# vi /etc/syslog.conf

在最后添加一列：

1 *.* @syslog.com