注:本文基於centos 6.5編寫
audit作為審計元件,除了可以監控檔案的修改,還可以監控系統呼叫的執行。受snoopy啟發,通過audit監控execve(系統呼叫,同樣可以實現使用者操作的記錄。
audit作為基本元件會隨著系統一起安裝,就不再介紹安裝方式了,反正也可以直接yum安裝。
新增如下規則,讓audit監控execve的呼叫記錄,
[root@centos-6-5 /home]# auditctl -s execve -a exit,always
[root@centos-6-5 /home]# auditctl -l
-a always,exit -s execve
對應,如果要刪除該條規則,可如下操作,
[root@centos-6-5 /home]# auditctl -d exit,always -s execve
[root@centos-6-5 /home]# auditctl -l
no rules
type=syscall msg=audit(1545212248.965:20000): arch=c000003e syscall=59 success=yes exit=0 a0=1c2d780 a1=1bf2450 a2=1bf1670 a3=7fff0a65d200 items=2 ppid=15571 pid=24347 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts2 ses=127 comm="who" exe="/usr/bin/who" key=(null)
type=execve msg=audit(1545212248.965:20000): argc=1 a0="who"
type=cwd msg=audit(1545212248.965:20000): cwd="/home"
type=path msg=audit(1545212248.965:20000): item=0 name="/usr/bin/who" inode=1314149 dev=08:02 mode=0100755 ouid=0 ogid=0 rdev=00:00 nametype=normal
type=path msg=audit(1545212248.965:20000): item=1 name=(null) inode=1046932 dev=08:02 mode=0100755 ouid=0 ogid=0 rdev=00:00 nametype=normal
同樣,audit也可以記錄遠端ssh執行命令,和snoopy類似,只不過autit日誌中充斥了大量無用的一些列印。
...
type=execve msg=audit(1545212408.278:20194): argc=2 a0="/usr/sbin/sshd" a1="-r"
...type=execve msg=audit(1545212408.365:20212): argc=3 a0="bash" a1="-c" a2="pwd"
用Audit守護程序配置和審計Linux系統
debian安裝audit debian ubuntu使用命令 apt get install auditd audispd plugins 檢視執行 root debian service auditd status auditd.service security auditing service...
Linux安全審計功能的實現 audit詳解
實現監管企業員工的操作行為就需要開啟審計功能,也就是audit,通過日誌檢視使用者的操作行為 1 安裝和開啟auditd服務 安裝 yum install audit 安裝後預設啟動 檢視執行狀態 service auditd status 2 檢視auditd的服務狀態的另一種方式 auditct...
Audit 檢視審核 審計資訊
2013需要到 集管理 集審核設定 中設定要開啟的審核項,開啟之後sharepoint才會記錄資訊,資訊儲存在contentdb的auditdata中 去讀審計資訊的sharepoint 如下 1 using spsite site new spsite siteurl 2 at time id 1...