Ubuntu下rsyslog审计用户bash操作命令、收集、写入MySQL
服务端
2台服务端:10.25.109.64、10.45.18.133
1、rsyslog最新版本安装
sudo add-apt-repository ppa:adiscon/v8-stable sudo apt-get update sudo apt-get install rsyslog
2、安装数据库
apt-get install rsyslog-mysql mysql-server -y#安装过程中会自动创建表
3、创建表结构 #使用show create table SysEvents,查看ommysql插件默认的建表sql,更改一下.
CREATE TABLE `BashEvents` ( `ID` int(10) unsigned NOT NULL AUTO_INCREMENT, `ReceivedAt` datetime DEFAULT NULL, `DeviceReportedTime` datetime DEFAULT NULL, `Facility` smallint(6) DEFAULT NULL, `Priority` smallint(6) DEFAULT NULL, `FromHost` varchar(60) DEFAULT NULL, `Message` text, `EventUser` varchar(60) DEFAULT NULL, `InfoUnitID` int(11) DEFAULT NULL, `SysLogTag` varchar(60) DEFAULT NULL, PRIMARY KEY (`ID`) ) ENGINE=InnoDB AUTO_INCREMENT=1784 DEFAULT CHARSET=latin1
4、编辑配置文件
vim /etc/rsyslog.d/50-default.conf $ModLoad ommysql #bash_log $template bash_mysql_insert,"insert into BashEvents (Message, Facility, FromHost,Priority, DeviceReportedTime, ReceivedAt, InfoUnitID, SysLogTag,EventUser) values('%msg:F,124:6%', %syslogfacility%, '%HOSTNAME%', %syslogpriority%,'%timereported:::date-mysql%', '%timegenerated:::date-mysql%', %iut%,'%syslogtag%','%msg:F,124:4%');",SQL $template Bash-history,"/var/log/remote_log/bash-log/%hostname%_%fromhost-ip%_log_%app-name%_%$YEAR%-%$MONTH%-%$DAY%.log" if ($msg contains "normal" and $app-name == "bash-log") then { action(type="omfile" DynaFile="Bash-history") action(type="ommysql" server="localhost" serverport="3306" db="Syslog" uid="rsyslog" pwd="123.com" template="bash_mysql_insert") stop }
5、相关说明
"%msg:F,124:4%": 代表将msg信息以|为分割,取出第四个区域的内容,F代表分割,124是|的ASCII码 "%msg:1:2%": 读取从pos从1到2的数据 "%msg:::lowercase%" :将整个消息转换为小写 "%msg:10:$%" : 截取pos从10到最后的消息内容 "%msg:R:.*Sev:. (.*) [.*–end%" : 取"*Sev:."和[.*之间内的所有内容 ------------------------------------------------------------------------------ R,<regexp -type>,<submatch>,<nomatch>,<match -number> regexp-type : ------------------------------------------------------------------------------ -->"BRE" (基本的正则表达式)或"ERE" (扩展的正则表达式) 0-9是标识submatch的,0标识所有内容,1-9标识相应序号的内容。(和shell类似,其实就是正则表达式中括号的用法) 如果相同的实例被匹配到,那么第一个匹配的是0,之后的匹配依次排列 -->nomatch : 标识没有匹配到的时候写什么 实例: "%msg:R,ERE,1,FIELD:for (vlan[0-9]*):--end%" "%msg:R,ERE,1,FIELD,1:for (vlan[0-9]*):--end%" "F,44" : 设置分隔符(用ACSII表示),针对分隔符,在引用时,0代表没找到,匹配的实例从1开始数 "%msg:F,59:3%" : 以分号为分隔符,提取第三个区域的内容 "%msg:F,59,5:3,9%" : 以分号为分隔符,从第5个子串中,提取3-6位的字符 "%msg:F,32+:2%" : 如果多个分隔符(比如:日志中有n个空格作为分割,那么可以添加一个+)
客户端
1、rsyslog最新版本安装
sudo add-apt-repository ppa:adiscon/v8-stable sudo apt-get update sudo apt-get install rsyslog
2、创建相关关键目录以及授权
mkdir -p /usr/share/.history chmod 777 /usr/share/.history chattr +a /usr/share/.history
3、在/etc/profile中写入以下内容
USER_IP=`who -u am i 2>/dev/null|awk '{print $NF}'|sed -e 's/[()]//g'` HISTDIR=/usr/share/.history if [ -z $USER_IP ] then USER_IP=`hostname` fi if [ ! -d $HISTDIR ] then mkdir -p $HISTDIR chmod 777 $HISTDIR fi export HISTSIZE=9999 DT=`date +%Y%m%d_%H%M%S` export HISTFILE="$HISTDIR/${LOGNAME}.${USER_IP}.history.$DT" original_user=${SUDO_USER:-$(pstree -Alsu "$$" | sed -n "s/.*(([^)]*)).*($USER)[^(]*$/1/p")} export HISTTIMEFORMAT="|normal|%F %T|${original_user:-$USER}|$$|" chmod 644 %HISTDIR/${LOGNAME}.*.histroy* 2>/dev/null export PROMPT_COMMAND='builtin history 1 >> $HISTFILE'
4、在rsyslog.d中写一个配置文件
vim bash.conf module(load="imfile" PollingInterval="1") input(type="imfile" File="/usr/share/.history/*history*" Tag="bash-log" Facility="local7" Severity="debug" deleteStateOnFileDelete="on" ) local7.* @10.25.109.64:514 local7.* @10.45.18.133:514
5、重新加载profile文件
source /etc/profile
6、重启rsyslog
/etc/init.d/rsyslog restart
坚持,相信有一天,你也能成为别人眼中的大牛!
QQ:939598325