主要根据定义的规则来监控、判断和记录系统活动,包括:
auditd :审计守护进程,负责收集和存储审计日志。
auditctl:规则控制工具,用于配置审计规则。
ausearch : 审计日志查询工具,支持按条件搜索日志。
aureport : 生成审计日志的汇总报告(如登录尝试、文件访问统计等)。
autrace:用于跟踪进程。
————————————
- 第一需要启动服务
# 启动服务
sudo systemctl start auditd
# 设置开机自启
sudo systemctl enable auditd
# 检查服务状态
sudo systemctl status auditd2.配置审计规则
举个盒子:
2.1 监控文件访问
监控对 /etc/passwd 文件的任何读写操作:(或者机密文件的读取)
auditctl -w /etc/passwd -p rwxa -k biaojian_1-w 指定监控文件
-p rwxa 监控读(r)、写(w)、执行(x)、属性变更(a)
-k 为规则添加标签(方便日志过滤查找)
2. 2 监控文件删除的系统调用
—监控所有删除文件的系统调用( unlink 或 unlinkat ):
auditctl -a always,exit -S unlink -S unlinkat -k del_files—监控用户删除文件
auditctl -a always,exit -S unlink -S unlinkat -S rename -S renameat -k del_files-a: 添加规则到特定事件链( always,exit 表明在系统调用退出时记录)
-F:过滤条件
-S:系统调用名称
- 日志查询与分析示例
3.1 搜索特定标签的日志
查找所有带 biaojian_1 标签的审计事件:
ausearch -k biaojian_1
3.2 生成用户登录报告
统计所有用户登录尝试:
aureport –login -i
——
注意注意事项:
- 关注日志大小,关注/var/log/audit/audit.log 日志大小,调整适合自己的
# 编辑 /etc/audit/auditd.conf
max_log_file = 500
num_logs = 100- 可通过 auditctl -l 查看当前生效的规则列表
- 可设置定时审查日志:设置 cron 任务定期将报告发给管理员分析日志
0 0 * * * /usr/sbin/aureport --summary --start yesterday --end now | mail -s "Audit Report" xxa@xxa.com- 防止日志被篡改( 实则也可以给audit.log 加一个审计读(r)的规则)
chmod 600 /var/log/audit/audit.log
chown root:root /var/log/audit/audit.log© 版权声明
文章版权归作者所有,未经允许请勿转载。
相关文章
暂无评论...
![[Java ]使用 Hutool 工具库将日期转换为 `2025-01-01T17:30:08+08:00` 这种格式字符串](https://en2.dunling.com/img/1.jpg)
