centos的日志文件在/var/log目录中,存储了登录日志等日志文件,但是默认并没有开启各个用户的操作文件记录，因此我们需要首先增加操作日志的记录，再增加日志管理员用户

添加用户的操作记录

1.创建系统用户shell命令行操作记录日志存放位置

#!/bin/sh
mkdir -p /var/log/userlogin/records/
chmod 777 /var/log/userlogin/records/
chmod +t /var/log/userlogin/records/

2.配置环境变量

vim /etc/profile

#将一下内容复制到环境变量下面
#!/bin/sh
if [ ! -d  /var/log/userlogin/records/${LOGNAME} ]
then
mkdir -p /var/log/userlogin/records/${LOGNAME}
chmod 777 /var/log/userlogin/records/${LOGNAME}
fi

export HISTORY_FILE="/var/log/userlogin/records/${LOGNAME}/bash_history"

export PROMPT_COMMAND='{ date "+%Y-%m-%d %T ##### $(who am i |awk "{print \$1\" \"\$2\" \"\$5}") #### $(history 1 | { read x cmd; echo "$cmd"; })"; } >>$HISTORY_FILE'

3.刷新环境变量

#!/bin/sh
source /etc/profile

4.查看操作日志

#!/bin/sh
# 查看root用户的操作日志
cd /var/log/userlogin/records/root
cat bash_history

添加日志管理员并设置密码

1.添加日志管理员用户

#!/bin/sh
# 添加用户
adduser logadmin
passwd logadmin

2.指定日志目录为日志管理员的家目录

vim /etc/passwd
#将logadmin:x:1005:1005::/home/logadmin:/bin/bash
logadmin:x:1005:1005::/var/log:/bin/bash

3.为日志管理员账户设置日志目录的只读权限

chown -R logadmin:logadmin /var/log
chmod 760 /var/log

新增日志管理员的环境变量

由于更改用户的家目录会丢失环境变量，导致很多常用命令无法找到是，所以最后需要把环境变量拷贝到新的家目录下，并且注销重新登录

cp /etc/skel/.bashrc /var/log/
cp /etc/skel/.bash_profile   /var/log