windows和linux开启操作记录日志审计日志的方法.250314

两个来自灵魂性的拷问：

1）公司如何对应用层面、数据库层面、操作系统层面用户操作进行管理，是否开启审计日志对用户操作进行记录？日志保留时间为多久？

2）公司是否会定期对操作日志进行检查，请提供检查过程及结果的相关记录。

解决方案：

一、Windows Server篇：开启审计日志

（一）、打开审计功能操作步骤：

1. 打开本地安全策略

• 按下 Win + R，输入 secpol.msc，回车。

3. 配置审计策略

• 审核登录事件

  （记录用户登录 / 注销）

• 审核对象访问

  （记录文件、注册表操作）

• 审核账户管理

  （记录用户创建、删除、权限变更）

• 展开 本地策略 → 审核策略，启用所需审计项

  

6. 配置文件 / 目录审计

• 右键点击目标文件 / 目录 → 属性 → 安全 → 高级 → 审核 → 添加，选择用户并配置操作类型（如读取、修改）。

（二）、导出并查看日志

 wevtutil epl Security C:\audit.evtx 

点击evtx查看文件。

二、OpenEuler linux系统篇：开启history的日期显示

export HISTTIMEFORMAT="%Y-%m-%d %H:%M:%S  "

然后再执行history

导出history：

history>1.txt