Windows/Linux

.bash_historyの出力内容をLSCにて収集する方法

この記事は投稿日から3年以上経過しています。

当記事では、.bash_historyの出力内容をLogStare Collector(以下、LSCと記載)にて収集する方法についての説明を記載します。

概要

ログフォワーダー「okurun.jar」を利用して.bash_historyの出力内容をsyslogとして発信し、LSCにて受信します。「okurun.jar」の入手先及び概要については、以下の記事をご参照ください。
ログフォワーダー「okurun.jar」について

前提条件

  • 「okurun.jar」はjavaにて動作します。OpenJDK等事前にLinuxへインストールし環境変数の設定等を実施してください。
  • Linux環境におけるjavaの環境変数設定については説明しません。
  • 当記事の記載内容は下記環境にて実施したものです。
  • 当記事の手順はすべて管理者権限にて実施しています。
  • 当記事における.bash_historyの取得対象はrootユーザのみとなります。

Linux

OS  CentOS7
JAVA OpenJDK15

LSCサーバ

LSCバージョン 2.0.1
OS CentOS7
メモリ 4GB
CPU 2コア
JAVA OpenJDK14

設定(Linux側)

.bashrcの設定

  • .bashrcに下記の内容を追記します。「export PROMPT_COMMAND='history -a; history -r'」を追記することで、コマンド実行時にリアルタイムで.bash_historyが更新されます。
# vi .bashrc
~省略~
export PROMPT_COMMAND='history -a; history -r'

「okurun.jar」の準備

  • 任意のディレクトリに「okurun.jar」を配置します。当記事では、/usr/local/配下に配置します。
# pwd
/usr/local
# ls
okurun.jar

.bash_historyの送信方法

  • 「okurun.jar」を配置したディレクトリに移動します。
# cd /usr/local/
# ls
okurun.jar
  • 「okurun.jar」を実行します。当記事では、/root/配下の.bash_historyが「okurun.jar」の対象となるファイルです。当記事では、LSC(172.23.61.59)にudp/514でファシリティ「LOCAL1」プライオリティ「INFO」にて転送する場合のコマンドを記載します。※最後のアンパサンド(&)はバッググラウンド処理させるためのものです。
# java -jar okurun.jar /root/.bash_history UTF-8 udp 172.23.61.59 514 INFO LOCAL1 N Y &
  • 上記コマンド実行後、バックグラウンド上で「okurun.jar」が起動します。

「okurun.jar」の停止方法

  • フォワーダーはkillコマンドにて停止します。まず、「okurun.jar」のプロセスIDを確認します。
#ps -ef | grep java
~省略~
root      1511  1479  0 16:31 pts/0    00:00:16 java -jar okurun.jar /root/.bash_history UTF-8 udp 172.23.61.59 514 INFO LOCAL1 N Y
root      3356  1479  0 22:13 pts/0    00:00:00 grep --color=auto java
  • 停止したい「okurun.jar」のプロセスIDを確認し、killコマンドにて停止します。
# kill -9 1511
  • 停止した「okurun.jar」のプロセスIDが存在しないことを確認します。
#ps -ef | grep java
~省略~
root 3356 1479 0 22:13 pts/0 00:00:00 grep --color=auto java

設定(LSC側)

基本設定

  • 「okurun.jar」にて転送されたメッセージを「SYSLOG収集」にてLSCで受信します。「SYSLOG収集」につきましては、以下の記事をご参照ください。
    SYSLOG収集
  • 「SYSLOG収集」にて利用されるポート番号はデフォルトでtcp/udp共に514となっています。「okurun.jar」にてポート番号を514以外に設定した場合、環境設定より「SYSLOG収集」にて利用されるポート番号を変更することで514以外のポートで「SYSLOG収集」が可能となります。環境設定につきましては、以下の記事をご参照ください。
    LogStare Collector における環境設定について

以上で.bash_historyの出力内容をLSCにて収集する方法についての説明は終了となります。

記載されている会社名、システム名、製品名は一般に各社の登録商標または商標です。

当社製品以外のサードパーティ製品の設定内容につきましては、弊社サポート対象外となります。

Windows Server DNSのデバッグログをLogStare Collectorにて収集する方法前のページ

Linux Server環境(CentOS)にSNMPv3の監視設定を行う次のページ

ピックアップ記事

  1. Zabbixヒストリデータのレポート生成について
  2. ログフォワーダー「okurun.jar」について
  3. 自社製品をAMIにしてAWSマーケットプレイスへ出品
  4. IoT機器「Raspberry pi」とLogStare Collectorで温…

関連記事

  1. Windows/Linux

    Windows Server 2016 (2019,2012) / Windows 10,11にて,…

    当記事では、LogStare Collector にて、Windows…

  2. NW機器

    SonicWall UTMのログ活用事例

    当記事では、SonicWall社製UTMのログ活用事例としてSyslo…

  3. Windows/Linux

    CloudWatch監視に必要な権限について

    当記事では、CloudWatch監視に必要な権限について記載します。…

  4. Windows/Linux

    テキストマッチングを利用したAudit.logの監視について

    当記事では、LogStare Collector(以下、LSCと記載)…

  5. iNetSec SFのSyslog・接続履歴ログを収集

    ログ分析・監視テクニック

    iNetSec SFのSyslog/接続履歴ログを収集するための設定方法

    当記事では、株式会社PFUのiNetSec SFを導入している環境…

  6. i-FILTERのログ送信方法|LogStare Collectorでアクセスログを収集するときの設定

    ログ分析・監視テクニック

    i-FILTERのログ送信方法|LogStare Collectorでアクセスログを収集するときの設…

    Tech-Blogカテゴリにおけるサードパーティ製品の設定内容につきま…

月額200円でM356の監査ログの運用レベルUP LogStare M365

AWSのログ分析・モニタリングに 次世代のマネージド・セキュリティ・プラットフォーム LogStare

人気記事TOP10

  1. SNMPを触ってみた

    ログ分析・監視テクニック

    SNMPとは?新入社員が生まれてはじめて触ってみた!

  2. 実践記事

    DNSキャッシュポイズニングやってみた

  3. NW機器

    SonicWall UTMにSyslog送信設定を追加する方法について

  4. ログ分析・監視テクニック

    nProbeであらゆる通信をログに記録し可視化する
  5. デフォルト画像イメージ

    FortiGate

    FortiGateのSD-WAN設定について
PAGE TOP