auditctl 监控文件修改

最新推荐文章于 2024-08-22 12:21:49 发布
最新推荐文章于 2024-08-22 12:21:49 发布
阅读量6.5k 收藏 6
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/csdnhadoop/article/details/51282458
版权
设置监控:
auditctl  -w /root/dead.letter -p wxa -k "mon_dead"


-w 监控文件路径 /root/dead.letter 
-p 监控文件筛选 r(读) w(写) x(执行) a(属性改变)
-k 筛选字符串,用于查询监控日志




设置了监控后,会在/var/log/audit/audit.log里出现日志。
可以用此命令查看日志:
ausearch -f /root/dead.letter -x vim
-k  利用auditctl指定的key查询
-x  执行程序
# ausearch -ts today -k password-file
# ausearch -ts 3/12/07 -k password-file
-ts 指定时间后的log (start time)
-te 指定时间前的log (end time)
csdnhadoop
关注
Linux 系统管理和监控命令---- auditctl 命令
redrose2100的博客
12-28 1339
auditctl是 Linux 审计系统(audit system)的一部分,它允许管理员配置审计规则,以跟踪和记录系统活动。这些规则可以帮助你监控对特定文件的访问、追踪特定用户的活动或记录系统调用。以下是auditctl
linux监控文件变化的程序,在 Linux 下监控程序修改文件
weixin_35478664的博客
05-07 2024
工作中, 有时候我们需要知道某个文件是否被修改了, 被哪个程序修改了. Linux 下可以很方便地监控某个文件修改的记录. 根据目的不同, Linux 下有不同的监视文件文件夹的方案.A. AuditdAuditd 可以很方便监控记录哪些程序和用户对指定文件 (即使不存在) 做的操作.安装 auditd一般发行版软件仓库里都会有 auditd 安装包. 如果默认没有安装, 可以很方便地利用包管...
linux监控文件操作行为
weixin_40539956的博客
04-15 1812
关键词(key)在这个上下文中是完全自定义的。当你使用 -k 参数在 auditd 规则中指定一个关键词时,这个关键词用于标记和识别与该规则相关的审计事件。这意味着你可以使用任何有意义的字符串作为关键词,以便于后续在审计日志中快速过滤和查找相关事件。-k auth-change 中的 auth-change 是一个自定义关键词,用于标识和过滤与 /etc/pam.d/common-auth 文件更改相关的审计事件。
Linux操作系统敏感文件监控开发
最新发布
YhMjQx的博客
08-22 1021
本篇文章主要讲解Linux操作系统中针对敏感文件监控实施shell脚本开发
部署audit监控文件
weixin_41176080的博客
02-12 333
1案例1:部署audit监控文件 1.1问题 本案例要求熟悉audit书籍工具的基本使用,完成以下任务操作: 使用audit监控/etc/ssh/sshd_config 当该文件发生任何变化即记录日志 通过手动和ausearch工具查看日志内容 1.2方案 审计的目的是基于事先配置的规则生成日志,记录可能发生在系统上的事件(正常或非正常行为的事件),审计不会为系统提供额外的安全保护,但她会发现...
Linux 审计工具 auditd 命令
huanghjunjun的博客
10-14 1万+
auditd 常用来对文件修改进行监听。
51: 系统审计 、 服务安全 、 服务安全 、 Linux安全之打补丁 、 总结和答疑
weixin_46575696的博客
11-13 493
CASE Top NSD SECURITY DAY05 案例1:部署audit监控文件 案例2:加固常见服务的安全 案例3:使用diff和patch工具打补丁 ...
AuditLog配置详解
zmj199536的博客
12-03 9348
介绍 auditLog采用Audit4j进行了简单的封装。 配置 在applicaton-.yml中添加auditLog的配置,配置参数如下: # auditLog配置 audit4j: db-handler: # auditLog记录时否分. 对于业务不是很复杂的应用,一般设置成false即可 separate: false # 是否用内置的数据库记录.一般都是用自...
Linux 监控文件被什么进程修改(详解)
01-10
比如,监控 /root/.ssh/authorized_keys 文件是否被修改过: aditctl -w /root/.ssh/authorized_keys -p war -k auth_key •-w 指明要监控文件 •-p awrx 要监控的操作类型,append, write, read, execute •-k 给...
linux进程监听文件内容,Linux 监控文件被什么进程修改(详解)
weixin_35286137的博客
04-28 1198
Linux 监控文件被什么进程修改(详解)安装: apt-get install auditd.1.auditd 是后台守护进程,负责监控记录2.auditctl 配置规则的工具3.auditsearch 搜索查看4.aureport 根据监控记录生成报比如,监控 /root/.ssh/authorized_keys 文件是否被修改过:aditctl -w /root/.ssh/authoriz...
部署audit监控文件: 使用audit监控/etc/ssh/sshd_config 当该文件发生任何变化即记录日志 通过手动和ausearch工具查看日志内容
彭淦淦的博客
04-23 910
1.1 问题 本案例要求熟悉audit审计工具的基本使用,完成以下任务操作: 使用audit监控/etc/ssh/sshd_config 当该文件发生任何变化即记录日志 通过手动和ausearch工具查看日志内容 1.2 方案 审计的目的是基于事先配置的规则生成日志,记录可能发生在系统上的事件(正常或非正常行为的事件),审计不会为系统提供额外的安全保护,但她会发现并记录违反安全策略的人及其对应的...
auditctl 审计功能简单设置
weixin_33726313的博客
07-23 997
敏感目录 /etc/ /tmp/auditctl -w /etc/shadow -p rwxa -k "SHADOW" 创建记录auditctl -l 查看记录条目auditctl -D 清除记录ausearch -k "SHADOW" 查看记录以下规则相同auditctl -w /etc/ -p waauditctl -a exit,always -F dir=/etc/ ...
Zabbix 数据库结构说明文档
疯飙的蜗牛
07-01 2万+
Zabbix 数据库结构说明文档 目录 1............................ acknowledges(空) 2....................................... actions 3........................................ alerts 4.................. applicati...
谁动了我的文件——使用audit监控文件和目录
Blue summer的博客
07-13 1万+
有时候在系统上经常会遇到某个文件不知被谁修改了,或者删除了,又找不到证据,这时候audit就派上用场了。 比如我要监控/var/log/test这个目录,可以这样新增一个监控项, [root@CentOS-7-2 /var/log/test]# auditctl -w /var/log/test [root@CentOS-7-2 /var/log/test]# auditctl -l -w...
Linux监控文件被什么进程修改、删除,审计工具auditd
小灰灰的专栏
04-12 3593
auditd,审计工具
audit审计规则配置方法
bigwood99的博客
09-06 1万+
1.概述 Linux提供了一个审计服务auditd。 默认情况下,开启这个服务只记录较少的资料。 这可能不满足大多数人的需要。但是如果开启全部记录,对于生产环境,可能负载过重,导致影响正常的服务。因此,根据实际需要进行配置是必须的。 Linux系统提供了一些配置的例子可以参考。 /usr/share/doc/audit-2.4.5 audit规则可以使用auditctl命令或配置规则文件来实现。 auditctl命令可以立即生效,但是重启服务会丢失配置的规则。 使用配置文件配置,需...
linux的审计功能(audit
weixin_71792169的博客
09-26 3807
PART ONE 为了满足这样的需求:记录文件变化、记录用户对文件的读写,甚至记录系统调用,文件变化通知。 什么是audit The Linux Audit Subsystem is a system to Collect information regarding events occurring on the system(s) Kernel events (syscall events) User events (audit-enabled programs) syslog会记录系统状态(硬件警告、
linux的审计功能
lishenglong666的专栏
12-16 3794
linux的审计功能(audit) 2010-09-30 16:40:34|  分类: 工作|字号 订阅 2.6 Linux内核有用日志记录事件的能力,比如记录系统调用和文件访问。然后,管理员可以评审这些日志,确定可能存在的安全裂口,比如失败的登录尝试,或者用户对系统文件不成功的访问。这种功能称为Linux审计系统,在Red Hat Enterprise
Linux中audit日志的使用方法
热门推荐
Han的小站
02-27 5万+
auditd服务的安装: 以CentOS6.5为例,使用下面的方法确认auditd服务的安装情况: yumlist audit audit-libs 确认以下两个package是否安装: audit.x86_64
audit监控文件不生效的原因
09-08
audit监控文件不生效的原因可能有以下几点: 1. 审计服务未启动:请确保audit服务已经正确安装并启动。在Ubuntu上可以使用apt-get audit命令,而在CentOS上可以使用yum install audit命令来安装audit服务。启动audit服务可以使用Systemctl start auditd命令。 2. 规则未添加或添加不正确:audit的规则需要使用auditctl工具进行添加。使用auditctl -l命令可以查看当前生效的规则。请确保正确添加了监控文件的规则,例如使用auditctl -w /path/to/file -p wxra命令添加监控。 3. 规则不生效或被覆盖:添加的规则每次audit服务重启后就会消失,如果希望规则在每次服务重启后仍然有效,可以将规则写入/etc/audit/rules.d/audit.rules文件的末尾。这样可以确保每次服务重启后规则仍然有效。 4. 文件路径错误:请确保监控文件的路径正确无误。使用auditctl -l命令可以查看当前生效的规则,确认监控文件路径是否正确。 5. 权限问题:请确保运行audit服务的用户具有足够的权限来监控文件。通常需要root或具有sudo权限的用户才能进行文件监控。 总结:audit监控文件不生效的原因可能包括未启动审计服务、规则未添加或添加不正确、规则不生效或被覆盖、文件路径错误以及权限问题。请逐一排查以上可能原因,确保配置正确并启动了审计服务。<span class="em">1</span><span class="em">2</span><span class="em">3</span><span class="em">4</span>
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值