linux 审计功能_linux audit保留时间

方法-一

 vim /var/log/audit/audit.log
1

comm

参数说明：

time :审计时间。

•name :审计对象

•cwd :当前路径

•syscall :相关的系统调用

•auid :审计用户ID

•uid和 gid :访问文件的用户ID和用户组ID

•comm :用户访问文件的命令

•exe :上面命令的可执行文件路径

方法二 自带审计功能

 vim ~/.bash_history
1

方法三

#将下面这段内容添加在/etc/profile文件末尾，完事后执行source /etc/profile使之生效。

HISTSIZE=1000

HISTTIMEFORMAT="%Y/%m/%d %T ";export HISTTIMEFORMAT

export HISTORY_FILE=/var/log/audit.log

export PROMPT_COMMAND='{ thisHistID=`history 1|awk "{print \\$1}"`;lastCommand=`history 1| awk "{\\$1=\"\" ;print}"`;user=`id -un`;whoStr=(`who -u am i`);realUser=${whoStr[0]};logMonth=${whoStr[2]};logDay=${whoStr[3]};logTime=${whoStr[4]};pid=${whoStr[6]};ip=${whoStr[7]};if [ ${
1
2
3
4
5
6