AIX 下audit实战

最新推荐文章于 2021-05-01 15:38:36 发布
最新推荐文章于 2021-05-01 15:38:36 发布
阅读量1.1k 收藏
点赞数
分类专栏: 系统管理 文章标签: AIX Websphere IBM Security 应用服务器

本文利用audit实现AIX下系统密码修改和文件执行的监控


1. 创建cron定时任务

root下执行crontab -e 并加入如下内容
# 定于每天早上执行 /usr/javaF.org/systemMonitor.sh
30 7 * * * /usr/javaF.org/systemMonitor.sh


2. 编辑/usr/javaF.org/systemMonitor.sh



#!/bin/sh
LOG_PATH=/usr/javaF.org/logs/systemMonitor`date +%Y%m%d`.txt
/usr/sbin/audit shutdown > /dev/null
echo @@systemMonitor@@ SKIP LINES >> $LOG_PATH
/usr/sbin/auditselect -e “event == PASSWORD_Change || event == WAS_STARTSERVER || event == WAS_STOPSERVER || event == WAS_JAVA”  /audit/trail|/usr/sbin/auditpr -h elcrdR -v  >> $LOG_PATH
rm -rf /audit/*
/usr/sbin/audit start > /dev/null
3. 编辑/etc/security/audit/config

  objects = 加入下行 
    WAS_STARTSERVER,WAS_STOPSERVER    


4. 编辑/etc/security/audit/objects

  加入:

  /usr/IBM/WebSphere/AppServer/profiles/AppSvr01/bin/startServer.sh:
          x = “WAS_STARTSERVER”

  /usr/IBM/WebSphere/AppServer/profiles/AppSvr01/bin/stopServer.sh:
          x = “WAS_STOPSERVER”


5 编辑/etc/security/audit/events

  * objects (files)下加入:

  *       /usr/IBM/WebSphere/AppServer/profiles/AppSvr01/bin/startServer.sh
          WAS_STARTSERVER = printf “%s”

  *       /usr/IBM/WebSphere/AppServer/profiles/AppSvr01/bin/stopServer.sh
          WAS_STOPSERVER = printf “%s”
6.启动audit

/usr/sbin/audit start


7. java解析日志代码

 

package org.javaf.system.monitor;

import java.text.DateFormat;
import java.text.SimpleDateFormat;
import java.util.Locale;

import org.javaf.common.utils.ReadTextFile;
import org.javaf.common.utils.WriteTextFile;

public class AixServerMonitor extends AbstractCommonMonitor {
	public static DateFormat aixDateFormat = new SimpleDateFormat("dd MMM yyyy",Locale.US);
	protected void getReport(ReadTextFile rt ,WriteTextFile wtm,WriteTextFile wtd){
		String line;
		while((line = rt.readLine()) != null) {
			if(line.startsWith("@@systemMonitor@@ SKIP LINES")) {
				this.skipLine(rt, 2);
				continue;
			}
			line = line.replaceAll("\\s+", " ");
			String contents[] = line.split(" ");
			if(contents.length < 9)
				continue;
			String dStr = this.dateStr;
//			String user = contents[3];
			try {
				//new SimpleDateFormat("dd MMM yyyy",Locale.US).parse(contents[4] + " "+ contents[5]+" "+ contents[6]);
				dStr = DEFAULT_FORMATE.format(aixDateFormat.parse(contents[4] + " "+ contents[5]+" "+ contents[6]));
			}
			catch(Exception e) {
				e.printStackTrace();
			}
			String outline = dStr + "|"+ip;
			if("PASSWORD_Change".equals(contents[0])) {
				outline += "|修改" + rt.readLine().trim()+"密码|"+contents[3]+"|1";
				wtm.println(outline);
			}
			else if("WAS_STARTSERVER".equals(contents[0])) {
				outline += "|启动应用服务器|"+contents[3]+"|1";
				rt.readLine();
				wtm.println(outline);
				wtd.println(outline);
			}
			else if("WAS_STOPSERVER".equals(contents[0])) {
				outline += "|停止应用服务器|"+contents[3]+"|1";
				rt.readLine();
				wtm.println(outline);
				wtd.println(outline);
			} 
		}
	}

}

 

 

book_develos
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
AIX 下某些日志定时清空
MiltonZhong
05-08 3050
最近发现weblogic proxy日志一直增加,达到18G把tmp空间撑满,导致系统无法访问,故设定时任务先拷贝后5000行日志做备份后清空proxy日志。 vi wl_proxyclear.sh tail -5000 /tmp/wlproxy.log > /weblogic/wlproxy.log           #--------后5000行拷贝到/weblogic/wlpr
配置aixaudit日志发送syslog服务器
allway2的博客
06-03 2776
一、配置audit的config文件 以root用户编辑/etc/security/audit/config文件 vi /etc/security/audit/config start: binmode = off streammode = on 将audit日志改为stream模式 二、配置audit的streamcmds文件 以root用户编辑/etc/security/audit/strea...
AIX如何开启审计功能
zjstats0307的专栏
07-01 2631
audit start 开启 auditpr -v </audit/bin1 查看
AIX系统中Audit系统的功能和概念,以及相关的命令
cri5768的博客
10-24 1269
[转]AIX系统中Audit系统的功能和概念,以及相关的命令 本文简要介绍了audit系统的功能和概念,以及相关的命令 一、AUDIT系统的概念: audit子系统提供了一种纪录系统安全方面信息的方法...
AIX中审计(audit)的使用
10-29 1881
不久前,有用户问起如何在aix中记录用户的信息,以提高系统的安全性。查了一下,可以使用aix中自带的审计功能来解决这个问题。    具体步骤如下:    1、定义 /etc/security/audit/config文件中的class节,单独定义一个类,名称为custom,将需要审计的各种事件依次列出,格式如下:classes :Custom = PASSWORD_Change,U
AIXaudit 和syslog
cjl421391196的博客
04-30 1543
安全审计包括两部分:一是:audit 子系统,二是:日志系统syslog, 他们的关系如下: audit子系统专门用来记录安全信息,用于对系统安全事件的追溯; syslog日志系统用来记录系统中的各...
操作系统之Auditing Subsystem—AIX OS
weixin_33744854的博客
06-14 139
版权声明: 本文遵循“署名非商业性使用相同方式共享 2.5 中国大陆”协议 您可以自由复制、发行、展览、表演、放映、广播或通过信息网络传播本作品 您可以根据本作品演义自己的作品 您必须按照作者或者许可人指定的方式对作品进行署名。 您不得将本作品用于商业目的。 如果您改变、转换本作品或者以本作品为基础进行创作,您只能采用与本协议相同的许 可协议发布基...
IBM AIX系统日志配置远程Syslog采集
leizi191110211的专栏
06-06 1万+
本文将指引你:如何对IBM AIX系统日志进行采集,并通过Syslog协议,自动实时的发送到远程的集中日志分析中心,便于集中式的日志存储和管理,提高IT的运维效率。 第一步:编辑AIX系统日志采集配置 vi /etc/syslog.conf 编辑并启用以下部分配置内容: *.emerg;*.alert;*.crit;*.err;*.warning;*.notice;*.info
AIX AUDIT 概念、规划和实施.pdf
06-03
AIX AUDIT 概念、规划和实施;AIX AUDIT 概念、规划和实施
server_audit.so
04-26
mariadb5.5.68linuxx86_64.tar解压出来的日志审计插件 可直接放在mysql安装目录 install
server_audit.rar
06-16
基本上,MariaDB Audit Plugin的目的是记录服务器的活动。对于每个客户端会话,它记录谁连接到服务器(即用户名和主机),执行了哪些查询,访问了哪些表以及更改了服务器变量。此信息存储在循环日志文件中,或者可以...
Bitrac.rar_audit
09-24
一个很好的审核初学者的实例一个很好的审核初学者的实例
AIX 日志清理 监听日志清理--过大的Oracle监听日志文件处理
weixin_34249678的博客
02-29 308
AIX 日志清理 监听日志清理--过大的Oracle监听日志文件处理 Oracle监听器日志文件(通常叫做listener.log)是一个纯文本文件,它的大小是一直不断增长的,在一个生产Oracle服务器上,DBA会每日查看该文件,如检查监听器是否有异常停止,是否有恶意攻击连接等,当这个文件特别大的时候,打开和浏览文件内容时可能比较慢。这时可能...
AUDIT_TRAIL设置及审计日志清理
cijinli4767的博客
05-30 1318
1. 初始化参数AUDIT_TRAIL用于控制数据库审计,取值说明: none 禁用数据库审计 os 启用数据库审计,并将数据库审计记录定向到操作系统审计记...
(转)清理AIX的/var文件系统大小
weixin_33769125的博客
09-05 351
     在ROOTVG空间有限,且/var文件系统的空间已经足够大的情况下,/var文件系统空间快满了,这种情况怎么处理?IBM给了一个很好的处理流程:  使用find 命令检查在/var目录中所有大于1MB的文件,看是否可将其删除. 如: #find /var -xdev -size +2048 -ls| sort -r +6 检查/var/tmp 中是否有可以删除的文件 检查/v...
AIX常见日志查看位置
热门推荐
欧辰的专栏
07-11 1万+
进行AIX 的日常维护,需要关注哪些日志文件?   解答          在进行AIX 的日常维护时,需关注的日志文件有:  文件          描述         建议  core 和 snapcore          由应用产生的 dump 文件, 可用于诊断错误         可删除  nohup.out          nohup 命令的输出结果
linux audit 命令审计,linux audit审计(8)--开启audit对系统性能的影响
weixin_34368102的博客
05-01 844
我们使用测试性能的工具,unixbench,它有一下几项测试项目:Execl Throughput 每秒钟执行 execl 系统调用的次数Pipe Throughput 一秒钟内一个进程向一个管道写512字节数据然后再读回的次数Pipe-based Context Switching 两个进程(每秒钟)通过一个管道交换一个不断增长...
简易图片检索软件(图像动态显示软件)
最新发布
06-06
首先设置待检索文件夹路径,设置完成解锁开始按钮,点击即可自动查阅文件夹下的图像。可设置每张图像的显示高度、显示停留时间及整体循环次数。 exe应用界面文件在路径disk/load_picture/load_picture.exe 点击exe应用及即可。
audit mysql
09-04
MySQL审计是一种记录和监控MySQL数据库操作的方法。可以通过配置MySQL审计插件来启用审计功能。可用的审计插件系统变量可以在mysql-audit的配置文档中找到。MySQL审计插件基于MySQL Server审计插件接口,并可记录每个用户在每个时刻的操作。虽然MySQL 5.7提供了安全审计插件,但缺点是日志信息较大,对性能有一定影响。如果你对MySQL审计有更高效的方法,可以与heng wang开发者分享意见。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [mysql审计配置 mysql-audit Configuration](https://blog.csdn.net/qq_32583639/article/details/117951762)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] - *2* [mysql-audit:mysql-audit 是 MySQL Server 的一个插件。-开源](https://download.csdn.net/download/weixin_42164534/19896450)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] - *3* [audit-plugin-mysql-5.7-1.1.7 for Linux](https://download.csdn.net/download/snjvery/85620346)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值