實現監管企業員工的操作行為就需要開啟審計功能,也就是audit,通過日誌檢視使用者的操作行為
1、安裝和開啟auditd服務:
安裝:yum install audit 安裝後預設啟動
檢視執行狀態: service auditd status
2、檢視auditd的服務狀態的另一種方式: auditctl -s
enabled為1表示開啟,0表示關閉
3、服務開啟後,所有的審計日誌會記錄在/var/log/audit/audit.log檔案中
該檔案記錄格式是每行以type開頭,其中紅框處是事件發生的時間(代表從2023年1月1日到現在過了多久,可以用date命令轉換格式),冒號後面的數字是事件id,同乙個事件id是一樣的
4、audit可以自定義對指定的檔案或命令進行審計(如監視rm命令被執行、/etc/passwd檔案內容被改變),只要配置好對應規則即可,配置規則可以通過命令列(臨時生效)或者編輯配置檔案(永久生效)兩種方式來實現
命令列語法(臨時生效):
auditctl -w /bin/rm -p x -k removefile
-w 指定所要監控的檔案或命令
-p 指定監控屬性,如x 執行、w修改
配置檔案是/etc/audit目錄下的auditd.conf和audit.rules
auditd.conf 主要是定義了auditd服務日誌和效能等相關配置
audit.rules才是定義規則的檔案:其實就是把auditctl的命令直接拿過來即可,auditctl裡支援的選項都可以在這個檔案裡指定
修改完後重啟服務:service auditd restart
5、事件檢視工具------ausearch :
-a number 只顯示事件id為指定數字的日誌資訊,如只顯示926事件:ausearch -a 926
-c commond 只顯示和指定命令有關的事件,如只顯示rm命令產生的事件:auserach -c rm
-i 顯示出的資訊更清晰,如事件時間、相關使用者名稱都會直接顯示出來,而不再是數字形式
如: ausearch -k editfile -i
6、使用auditctl可以檢視和清空規則:
auditctl -l 檢視定義的規則
auditctl -d 清空定義的規則
linux audit 安全審計功能
今天系統中遇到rc.local被人刪除掉的問題,從同事那裡得知一工具可以監控檔案被刪除或修改是被誰和哪條指令修改的,就是audit,總結了一下,尤其是注意事項,希望後續可以省掉一些問題定位時間。linux安全審計功能 audit詳解 動機我們知道在linux系統中有大量的日誌檔案可以用於檢視應用程式...
linux 審計功能
方法 一 vim var log audit audit.logcomm 引數說明 time 審計時間。name 審計物件 cwd 當前路徑 syscall 相關的系統呼叫 auid 審計使用者id uid和 gid 訪問檔案的使用者id和使用者組id comm 使用者訪問檔案的命令 exe 上面命...
Linux審計功能
目錄 1 簡介 2 審計記錄日誌內容 3 應用 4 審計軟體 配置檔案 etc audit auditd.conf 日誌檔案 log file var log audit audit.log auditctl命令控制審計系統並設定規則決定哪些行為記錄日誌 定義檔案系統的審計規則 設定審計規則對pas...