很多情况下我们需要记录用户执行过的命令，不管是root还是其他普通用户，我们可以通过以下方式来记录。

1.1、预备知识

• 1）PROMPT_COMMAND
  这个环境变量中设定的内容将在交互式脚本的提示(PS1)出现之前被执行。也就意味着用户登录后每次执行命令前都会执行这个变量中给出的命令。
• 2）rsyslog
  系统用来实现日志功能的，配置文件在/etc/rsyslog.conf，格式日志设备(类型).(连接符号)日志级别 日志处理方式(action)
• 3）logrotate
  Logrotate是基于CRON来运行的，其脚本是/etc/cron.daily/logrotate，日志轮转是系统自动完成的。
  实际运行时，Logrotate会调用配置文件/etc/logrotate.conf。

1.2、实战演练

# 1. 修改rsyslog配置,local7下面添加如下行，注意用tab分割，不是空格
vim  /etc/rsyslog.conf
local6.*                                                /var/log/auditlog
# 2. 重启rsyslog服务
systemctl restart rsyslog

# 3. 修改环境变量文件,文件末尾新增如下行
vim  /etc/bashrc
readonly PROMPT_COMMAND='{ date "+%Y-%m-%d %T # $(who am i |awk "{print \$2,\$5}") $(whoami):[$PWD]# $(history 1 | { read x cmd; echo ${cmd}; })"; } | logger -p local6.info'

# 4. 新增logrotate配置audit日志的切割策略
vim /etc/logrotate.d/audit
/var/log/auditlog {
    daily
    compress
    rotate 365
    missingok
    notifempty
    dateext
}

1.3、工作原理

PROMPT_COMMAND会在命令执行前执行。
$(who am i |awk '{print \$2,\$5}')会输出登录用户用的tty和登录服务器的远程电脑IP或者主机名。
$PWD是内建变量，显示当前执行命令的工作目录。
history 1 | { read x cmd; echo ${cmd};会输出最后一条历史命令中的执行信息。

为了不让用户修改变量，使用declare -rx命令定义了只读环境变量。这里要注意使用readonly命令也可以定义只读变量，但是用户用env命令看不到，只有用export PROMPT_COMMAND命令将变量设置为环境变量后才能看到。

变量加到/etc/bashrc是因为用户登录后会加载这里的配置，包括sudo sudo su sudo su - su root su - root。如果加到其他文件里则部分命令后就不会加载变量，自行尝试。

修改rsyslog是可以自定义日志输出的文件路径和名字，用logger -p这个命令配合使用。

新增logrotate配置则是需要切割日志，防止单个日志文件太大，以及做好切割备份，方便查询。

其他实现

【一】

declare -rx PROMPT_COMMAND='{ date "+%Y-%m-%d %T # $(who am i |awk "{print \$2,\$5}") $(whoami):[$PWD]# $(history 1 | { read x cmd; echo ${cmd}; })"; } | logger -t auditlog'

在/etc/profile最后添加如下行，则日志会直接输出到messages日志里。

logger -t auditlog
-t tag 指定日志标签，结果格式为
Jun  3 17:32:25 XXX auditlog: 日志信息

这种方式：不定义日志格式，直接将日志写到messages日志文件里，和其他日志放一起，但是可以指定日志标签，方便检索。
缺点是（1）会导致日志增大，并且用户提权后因-t标签的存在，导致不会记录提权前的用户。（2）不能自定义日志路径。

【二】

# 1. 创建审计用户组
groupadd audit
# 2. 将普通用户caoshibo加入audit组
usermod -a -G audit caoshibo
# 3. 创建存放审计日志的目录
mkdir -p -m 2775 /var/log/Command/
chmod o+t /var/log/Command/
# 4.修改目录的属组为audit
chgrp audit /var/log/Command/

# Command audit
export DA=$(date +"%Y%m%d")
export HISTORY_FILE=/var/log/Command/Command-${DA}.log
(umask 002 && touch $HISTORY_FILE)
declare -rx PROMPT_COMMAND='{ date "+%Y-%m-%d %T # $(who am i |awk "{print \$2,\$5}") $(whoami):[$PWD]# $(history 1 | { read x cmd; echo ${cmd}; })"; } >>$HISTORY_FILE'

缺点：用户可以删除日志文件。
因为普通用户和root都要往日志文件里写，所以需要给普通用户加一个附加组；并且如果日志文件不存在，普通用户登录后也需要新建，所以普通用户必须有日志文件父目录的写权限。为了能让所有普通用户都可以写，就给Command目录加了SGID权限以及修改目录属组为audit。这样普通用户在这个目录下创建的日志文件的属组会自动继承Command目录的属组，也就是audit。(umask 002 && touch $HISTORY_FILE)命令则是因为root用户生成的日志文件权限是644，属组没有写权限。所以这里用 启动子shell并修改umask的方式生成日志文件。这样就不会修改root默认的0022的umask。
其他审计软件：
https://www.splunk.com/ 免费2个月