注意:
在排除 SFTP 登录记录只监控普通登录记录前要先开启 SFTP 日志:
正文:
介绍
基本信息
作者:朱明宇
名称:监控普通登录记录 (排除 SFTP 登录记录只监控普通登录记录)
作用:监控普通登录记录 (排除 SFTP 登录记录只监控普通登录记录)
使用方法
1. 在此脚本的分割线内写入相应的内容
2. 给此脚本添加执行权限
3. 执行此脚本
4. 普通登录记录会同时记录在系统日志和 $logfile 里
脚本分割线里的变量
1. logfile=logfile.txt #用户保存记录的文件
2. prompt=”and no sftp info” #记录里普通登录记录的文件
脚本
#!/bin/bash
####################### Separator ########################
logfile=logfile.txt
prompt="and no sftp info"
####################### Separator ########################
checktime=`date +%Y-%m-%dT%H -d "-1 day"`
for i in `cat -n /var/log/messages | grep $check_time | grep 'Started Session' | grep -v 'root' | awk '{print $1}'`
do
line=`sed -n $[i]p /var/log/messages`
time=`echo $line | awk '{print $1}'`
session=`echo $line | awk '{print $6}'`
user=`echo $line | awk '{print $9}'`
user=${user%.}
message="ACCESS CHECK LOG: Time:$time Session:$session $user has accessed `hostname`, $prompt"
let sftpline=i+3
sed -n $[sftpline]p /var/log/messages | grep sftp-server &> /dev/null
if [ $? -ne 0 ];then
echo $message
echo $message >> $logfile.txt
logger $message
fi
echo
done