centos操作审计

#创建审计记录文件
 
touch /var/local/mon.log
 
#修改文件权限任意用户可以写，但是所有用户不能读执行
 
chmod 002 /var/local/mon.log
 
#在/etc/profile末尾添加
 
export HISTORY_FILE=/var/local/mon.log
export PROMPT_COMMAND='{ date "+%Y-%m-%d %T ## `hostname` ## $(who am i |awk "{print \$1}") ## $(who am i |awk "{print \$2}") ## $realsourceip ## $(history 1 | { read x cmd; echo " $cmd"; })"; } >>$HISTORY_FILE'
realsourceip=`who am i | awk -F"[()]" '{print $2}'`
 
#使修改生效
 
source /etc/profile
 
#
#PROMPT_COMMAND说明：
#
#date "+%Y-%m-%d %T                输出生时间
#hostname                                      输出主机名
#$(who am i |awk "{print \$1}")    输出用户名
#$(who am i |awk "{print \$2}")      输出登陆方式
#`who am i | awk -F"[()]" '{print $2}'`  即变量realsourceip，输出登陆ip
#$(history 1 | { read x cmd; echo " $cmd"; })  输出用户执行的命令