如何实时监控系统用户执行的Linux命令？

本文介绍如何使用auditd工具实时监控系统用户执行的Linux命令。auditd是用于审计和监视系统中的事件的官方工具，它可以检测和记录系统上的所有活动，包括用户登录、系统调用和文件访问等事件。下面是详细的操作步骤：

1. 安装auditd

使用以下命令在Linux系统上安装auditd工具：

sudo apt-get update
sudo apt-get install auditd

2. 配置auditd

编辑auditd的配置文件/etc/audit/auditd.conf，确保以下选项已启用：

# 配置日志文件路径和格式
log_file = /var/log/audit/audit.log
log_format = RAW

# 启用日志轮换
logrotate = yes

# 配置日志轮换周期
max_log_file = 10
num_logs = 4

# 启用规则
# 【如果以规则管理的形式收集审计信息】
enable_auditd = yes

# 确认系统上每个用户都被监控
# 【系统默认收集所有用户的审计信息】
# auditd默认的规则源文件位置是 /etc/audit/rules.d/
# audispd默认的规则源文件位置是 /etc/audit/auditd.conf
audit_users = root

3. 配置audit规则

使用auditctl命令设置要监控的事件规则。例如，要监控用户执行的所有命令，可以使用以下命令：

sudo auditctl -a exit,always -F arch=b64 -S execve

每次用户使用execve系统调用执行命令时，都会生成一个记录。可以通过以下命令查看已定义的规则：

sudo auditctl -l

4. 查看审计日志

审计日志记录在/var/log/audit/audit.log文件中。可以使用以下命令处理日志记录：

sudo ausearch -k COMMAND -i

上述命令将显示与规则“COMMAND”相关联的所有事件记录。

总结

auditd是一个强大的工具，可以实时监控用户在Linux系统上执行的命令。上述步骤可以帮助开发人员轻松实现对系统行为的监控和审计，并有助于保护系统安全。