生产环境日志审计解决方案

所谓的日志审计，就是记录所有系统及相关的用户行为，并且可以自动分析、处理、展示（包括文本或者录像）

1) :通过环境变量以及rsyslog服务进行全部日志审计（信息太大，不推荐）

2) sudo配置rsyslog服务，进行日志审计（信息较少，效果不错）

3) 在bash解释器中嵌入一个监视器，让所有被审计的系统用户使用修改过的增加监视器的特殊bash程序作为解释程序。

4) 齐治的堡垒机：商业产品

在此文档中，我们学习第二种方法：sudo的日志审计，所谓的suod的日志审计，并不记录普通用户的操作，只记得执行sudo命令的操作

1安装sudo和syslog服务

使用yum等命令在在线安装sudo和syslog服务（在centos6.4中syslog为rsyslog服务）

2配置/etc/sudoers

在/etc/sudoers中配置下面这一行配置

Defaults logfile=/var/log/sudo.log

在/etc/syslog.conf中添加下面一行的配置文件

local2.debug /var/log/sudo.log

/etc/init.d/rsyslog restart

然后在/var/log/sudo.log 中就可以发现使用sudo命令的用户。

经过测试这是一个很实用的方法。