linux 环境下 如何监控用户新增 使用 /var/log/auth.log的方式
时间: 2023-09-28 17:11:04 浏览: 191
在 Linux 环境下,可以使用 `auditd` 工具来监控用户新增,包括添加新用户、修改用户信息和删除用户等操作。`auditd` 是 Linux 中的一个审计守护进程,可以通过配置规则来监控系统中的各种事件,并将事件记录到日志文件中。
下面是使用 `auditd` 监控用户新增的具体步骤:
1. 安装 `auditd` 工具。在 Debian/Ubuntu 系统中,可以使用以下命令安装:
```shell
sudo apt-get install auditd
```
在 Red Hat/CentOS 系统中,可以使用以下命令安装:
```shell
sudo yum install audit
```
2. 编辑 `auditd` 配置文件 `/etc/audit/auditd.conf`,修改 `max_log_file` 和 `num_logs` 参数,以便确保日志文件足够大且数量足够多,例如:
```
max_log_file = 200
num_logs = 5
```
3. 在 `auditd` 规则文件 `/etc/audit/rules.d/audit.rules` 中添加以下规则,用于监控用户新增:
```
-w /etc/passwd -p wa
-w /etc/shadow -p wa
-w /etc/group -p wa
-w /etc/gshadow -p wa
```
这些规则分别表示监控 `/etc/passwd`、`/etc/shadow`、`/etc/group` 和 `/etc/gshadow` 文件的写操作,当有用户新增时,这些文件将被写入新的用户信息,并被监控到。 `-p wa` 表示监控文件的写操作和属性变更。
4. 重启 `auditd` 服务,使配置生效:
```shell
sudo service auditd restart
```
5. 查看 `/var/log/audit/audit.log` 日志文件,以查看是否有用户新增的记录:
```shell
sudo less /var/log/audit/audit.log
```
如果有新增用户的记录,可以在日志中找到相应的条目,例如:
```
type=USER_ADD msg=audit(1591987343.387:909): pid=1 uid=0 auid=4294967295 ses=4294967295 msg='op=add-user uid=1000 exe="/usr/sbin/useradd" hostname=? addr=? terminal=? res=success'
```
其中,`op=add-user` 表示新增用户,`uid=1000` 表示新用户的 UID,`exe="/usr/sbin/useradd"` 表示执行新增用户操作的命令。
阅读全文