csplit -f file -z --suppress-matched - '/Request/' '{*}' <<\DATA
....Request....
asaksa
sda
dsad
dsad
....Request...
21mklk
nnm212
mkmr543
849238
....Request...
4392840
kndska
94i0-jkfjdk
smdla
.....Request..
839281
ksndlka
nsc
mcxmzl
DATA
Вы спрашиваете, как использовать csplit
, в основном. Его задача состоит в том, чтобы разделить его входной файл на отдельные файлы на основе контекстных совпадений.
ls
file00 file01 file02 file03
cat file00
asaksa
sda
dsad
dsad
cat file*
asaksa
sda
dsad
dsad
21mklk
nnm212
mkmr543
849238
4392840
kndska
94i0-jkfjdk
smdla
839281
ksndlka
nsc
mcxmzl
Разве не входные данные ALLEY в Auth.log
без дополнительных пакетов?
История команд
- это вопрос оболочки, чтобы записать его , Вы должны исправлять оболочку (все снаряды в системе) с функцией, которая записывает каждую строку ввода (но если пользователь действительно хочет избежать журнала, он всегда может найти путь). Это потому, что каждое приложение (не просто оболочка) может вилочную вилку и выполнить любую команду пожеланию. Таким образом, единственный надежный способ - записать каждый процесс, который он начинается в вашей системе (см. Вторую ссылку ниже). Тем не менее, это все еще исключает все, что делается оболочкой, который не требует нового процесса, чтобы быть порожденным (все сочинения оболочки) - кто-то может в принципе звонить Echo «вредоносная команда» | Bash
и только Bash
будет видимым как командная линия. Таким образом, как логизация оболочки и ведение журнала Exec, вероятно, является способом.
Соответствующие ссылки:
https://stackoverflow.com/questions/15698590/how-to-capture-all-the-commands-typed-in-unix-linux-by-any-user Выполненные команды файл журнала
Может быть, это требует больше усилий, чем использование некоторых внешних инструментов, но Last
или UTMPDUMP
Поставьте все необходимые удаленные данные входа в систему, используя эти файлы (чтение http://xmodulo.com/monitor-user-login-history-ustos-utmpdump.html Для получения дополнительной информации о этих файлах):
/var/log/wtmp
/var/log/btmp
/var/run/utmp
И как было сказано выше, вы можете обрабатывать пользовательскую оболочку -Command-история записи самостоятельно.
Можно также использовать учет процесса. Ищите служебный пакет на Fedora и включите его.
Тогда вы сможете увидеть, что делал/делает пользователь, запустив такие вещи:
sa (list of all commands)
lastcomm bash (who ran bash)
lastcomm vpathak (what was run by vpathak)
Это вместе с некоторой историей оболочки должно дать вам хорошее представление.
Для лучшего понимания, откуда приходят логины и какие ключи используются, вы также можете посмотреть детальное пошаговое исследование попытки вторжения по адресу http://vpathak.tumblr.com/post/121343814158/fedora-audit-log-with-love-from-russia