对用户的命令进行审计,并且通过syslog集中管理

r_ip=`who am i`
HISTTIMEFORMAT="$r_ip-$USER %Y-%m-%d %T>"
export PROMPT_COMMAND="history 1|tee -a /tmp/cmd_tmp|logger -t cmd_log -p local3.notice"

添加到/etc/profile 里面去到了

你们怎样对账号进行审计工作的呢?
只要是用户登录了 就会记录下用户的行为
哪怕是ssh su 后都可以追查到,不过对用户编写脚本后无法查看脚本内的具体命令

tee -a /tmp/cmd_tmp 这一段可以不要使用
或者你指定一个位置 将权限设置成222

因为默认是谁创建文件权限就只能属于谁 命令中会在本机保留一份 /var/log/mesages里面保留一份
你也可以设置你的syslog服务器不要保留到/var/log/mesages 直接发送到syslog服务器这样就只能是管理员才能看到了