LINUX日志审计

最新推荐文章于 2023-11-28 08:30:00 发布
最新推荐文章于 2023-11-28 08:30:00 发布
阅读量1.1k 收藏
点赞数
文章标签: 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2302_77424749/article/details/130526063
版权

首先呢,做日志审计最重要的几点就是WWWH。

一:W--WHO:知道是谁

        W--WHERE:IP地址

        W--WHAT:干了什么

        H--HOW:怎么干的。

二:理清思路以后,来总结最重要的几个日志命令:

1.yum日志:该日志存放的是关于安装以及更新等相关信息。

2.httpd日志:该日志用于存放httpd的日志。

3.utmp日志:记录了当前正在登录的系统的信息,需要使用 who 命令或者 w 命令。

4.wtmp日志:记录了当前和历史登录的用户信息,需要使用 last 命令进行查看。

5.btmp日志:记录了登录失败的登录信息,需要使用 lastb 进行查看。从此处可查看暴力破解异常登录的IP地址。

三:关于查看日志:

1.首先可看登录次数较多的IP地址以及账号,查看非本地IP地址或者异常IP,是否有尝试破解登录等操作。

2.查看时间点,看是否有除自己以外的异常登录的时间点。以及是否有多项同一时间点登录的异常非人为操作。

3.查看是否远程连接登录。

4.查看服务器响应状态码。是否有 404 , 304 之后的200。如果有,说明该账户已经被破解通过对文件进行修改或者进行下载等操作。

5.在状态码前面可查看该账户访问过的文件夹,状态码后面可查看该账户所使用的浏览器客户端页面的来源地址以及浏览器类型和版本号等信息以便溯源。

四:其他日志:

1.messages日志:记录了系统运行过程中执行命令或服务的信息和错误信息。

2.secure日志:记录了用户和用户组变化情况、用户登录认证情况。

金阿喜
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
操作系统安全:Linux安全审计Linux日志详解
wangyuxiang946的博客
04-26 5972
这篇文章给大家介绍Linux用来做安全审计日志有哪些,解析日志字段含义。
LINUX日志分析
weixin_53303772的博客
01-25 1165
Linux系统拥有非常灵活和强大的日志功能,可以保存几乎所有的操作记录,并可以从中检索出我们需要的信息。 Linux系统下所有的日志信息都保存在/var/log/目录下,目录配置文件在/etc/rsyslog.conf。 日志文件 说明 /var/log/cron 记录了系统定时任务相关的日志 /var/log/cups 记录打印信息的日志 /var/log/dmesg
rsyslog所有用户日志审计
12-22
rsyslog所有用户日志审计
Linux audit 日志审计服务安装及使用
01-12
Linux auditd 工具可以将审计记录写入日志文件。包括记录系统调用和文件访问。管理员可以检查这些日志,确定是否存在安全漏洞。
Linux日志巡检之日常操作及安全审计
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
04-21 7013
一、背景 本文专门针对Linux系统运维当中相关日志,总结概述经常要执行的操作,以备参考辅助。 二、常见日志 /var/log/message 系统启动后的信息和错误日志,是Red Hat Linux中最常用的日志之一,一般系统整体运行信息都会记录在该日志里,其中也包含系统启动期间的日志。此外,mail,cron,daemon,kern和auth等内容也会记录在var/log/messages日志中。 /var/log/daemon.log:记录包含各种系统后台守护进程日志信息 /var/log/maill
Linux 中实时查看日志的3种方法
热门推荐
weixin_53641036的博客
09-26 5万+
如果当前日志文件被旋转,tail 命令现在将指向一个存档日志文件,该文件现在不会记录任何更改。但是,当文件内容更新特别快速的时候,刚刚更新的内容一闪而过,这种情况下,查看起来就不那么方便了。另外,它按行来拆分视图。tail 命令是可以的,除此以外,还有其他的一些工具,本文将会介绍这些可以实时查看日志文件的工具。日志文件是动态的,其内容随时会变化,要监测日志文件,需要在日志文件内容改变时也能实时看到。比如,我们在跟踪日志文件的时候,经常会监视某个特定的术语(字符串),在快速更新的大量内容中跟踪,非常不方便。
Linux日志审计
05-17 5051
Linux日志审计 常用命令 find、grep 、egrep、awk、sed Linux 中常见日志以及位置 位置 名称 /var/log/cron 记录了系统定时任务相关的日志 /var/log/auth.log 记录验证和授权方面的信息 /var/log/secure 同上,只是系统不同 /var/log/btmp 登录失败记录 使用lastb命令查看 /var/log/wtmp 登录失成功记录 使用last命令查看 /var/log/lastlog 最后一次登录
mysql8.0审计日志插件mariaDb安装失败记录
08-15
在MySQL 8.0中,审计日志是用于记录数据库操作的重要工具,它可以帮助管理员跟踪和审查用户对数据库的访问行为。然而,在尝试安装MariaDB的审计日志插件时,可能会遇到一些挑战。MariaDB的审计日志插件与MySQL 8.0...
linux收集日志工具
06-07
本文将详细介绍一种名为"logtoolV1"的Linux日志收集工具,该工具专门设计用于汇总和分析软件及硬件的相关信息。 首先,我们要理解Linux日志的重要性。在Linux环境下,各种服务、应用以及系统组件会不断产生日志,...
Linux 日志系统介绍
最新发布
06-25
linuxLinux 系统中,日志系统负责记录各种系统事件、错误、警告以及用户活动等信息。这些日志对于故障排除、性能监控和安全审计非常重要。Linux 系统通常使用 syslogd 或者 systemd 来进行日志记录。
Linux开启审计操作日记(history格式)
Fadess的博客
07-27 1304
history配置、Linux操作日记配置、Linux记录操作日志
【项目记录】Linux日志审计系统
linjiuxiansheng的博客
03-26 824
本作品实现了对客户端的Linux系统日志审计以及警报。使用者只需预留用于警报的邮箱,在客户端部署软件,即可实现对Linux系统日志的转发分析以及通过客户预留的邮箱进行警报,适用于Linux个体以及集群对系统的实时监听。实现日志转发、审计和报警的工作、一键部署rsyslog环境、利用rsyslog转发日志、分析处理日志mysql数据库、用java搭建可视化界面与WEB可视化界面并实现警报功能。
Linux查看日志命令
wentao365的专栏
05-09 682
1、cat命令: 功能:1)显示整个文件。 示例: $ cat fileName 2)把文件串连接后传到基本输出,如将几个文件合并为一个文件或输出到屏幕。 示例: $ cat file1 file2 > file 说明:把档案串连接后传到基本输出(屏幕或加 > fi...
【安全】linux audit审计使用入门
追寻梦想的青春
10-11 4484
rules:审计规则,其中配置了审计系统需要审计的操作auditctl:用户态程序,用于审计规则配置和配置变更kaudit:内核空间程序,根据配置好的审计规则记录发生的事件auditd:用户态程序,通过netlink获取审计日志用户通过auditctl配置审计规则内核的kauditd程序获取到审计规则后,记录对应的审计日志用户态的auditd获取审计日志并写入日志文件。audit的主要应用场景是安全审计,通过对日志进行分析发现异常行为。
适用于 Linux 系统的综合日志审计和报告
ITmoster的博客
07-28 709
EventLog Analyzer是一个全面的系统日志管理解决方案,可监控所有日志以维护安全的Linux环境。
Linux 配置用户命令日志审计功能
浪屋剑客
11-21 8715
目的:监控登陆上linux 系统服务器的用户,所使用过的命令。 采用以下步骤配置用户命令日志审计功能: 1.创建用户审计文件存放目录和审计日志文件 ;  mkdir -p /var/log/usermonitor/ 2.创建用户审计日志文件; echo usermonitor >/var/log/usermonitor/usermonitor.log 3.将日志文件所有者赋予一
Linux安全之auditd审计工具使用说明
月生的静心苑
11-28 5988
audit 我们可以使用auditctl临时配置规则,服务重启失效,如果需要配置永久生效,我们需要将规则写入到配置文件中。auditd审计规则分成三个部分,控制规则:这些规则用于更改审计系统本身的配置和设置。文件系统规则:这些是文件或目录监视。使用这些规则,我们可以审核对特定文件或目录的任何类型的访问。系统调用规则:这些规则用于监视由任何进程或特定用户进行的系统调用。使用 ausearch ,您可以过滤和搜索事件类型。它还可以通过将数值转换为更加直观的值(如系统调用或用户名)来解释事件。
X18-操作系统 linux日志审计
h1825819493的博客
05-19 873
路径:/etc/logrotate.conf正常普通程序服务都可以通过这四个设置进行配置这两个文件的优先级高于上面的优先级。
linux 开启审计功能及规则配置
m0_74282605的博客
02-09 2324
【推荐阅读】#查询审计功能#审计日志文件目录#编辑审计配置文件加入以下配置规则:#自定义审计规则#重启审计服务#查询审计配置规则。
linux日志审计配置
05-26
Linux系统中进行日志审计可以帮助管理员更好地了解系统的运行状况和发现潜在的安全问题。下面是一个简单的步骤,用于配置Linux系统的日志审计。 1. 安装 audit 工具 在大多数 Linux 发行版中,audit 工具已经预安装。如果没有,可以使用以下命令安装: ``` sudo apt-get install auditd # Debian/Ubuntu sudo yum install audit # CentOS/RHEL ``` 2. 配置审计规则 审计规则用于确定哪些事件需要被记录下来。可以编辑 /etc/audit/rules.d/audit.rules 文件来定义审计规则。这个文件可能已经存在了,如果不存在,可以手动创建。 以下是一个例子: ``` # This file contains the auditctl rules that are loaded # whenever the audit daemon is started via the init scripts. # The rules are simply the parameters that would be passed # to auditctl. # First rule - delete all -D # Increase the buffers to survive stress events. # Make this bigger for busy systems -b 8192 # Feel free to add below this line. See auditctl man page # for more information ``` 3. 启动 auditd 服务 配置完成后,启动 auditd 服务: ``` sudo systemctl start auditd ``` 4. 查看审计日志 审计日志存储在 /var/log/audit/audit.log 文件中。可以使用以下命令来查看日志: ``` sudo ausearch -i -ts today ``` 这将显示今天发生的所有审计事件。可以使用其他选项来指定时间范围、事件类型等。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值