一 . 概述
1.1什么是审计
-基于事先配置的规则生成日志 记录可能发生在系统上的事件
-审计不会为系统提供额外的安全保护 但会发现并记录违法安全策略的人及其对应行为
-审计能够记录的日志内容 : 日期与事件 事件结果 触发事件的用户
对关键数据文件的修改行为等
所有认证机制的使用都可以被记录 如ssh等
1.2 审计的案例
监控文件访问 监控系统调用 记录用户运行的命令 审计可以监控网络访问的行为
ausearch工具 可以根据条件过滤审计日志 aureport工具 可以生成审计报告
1.3部署audit
1.3.1 安装软件包
[root@proxy ~]#rpm -q audit
audit-2.7.6-3.el7.x86_64
1.3.2 服务的配置文件
[root@proxy ~]#vim /etc/audit/audit.conf
log_file = /var/log/audit/audit.log //日志文件路径
[root@proxy ~]#systemctl st