利用rsyslog 对Linux用户进行审计

最新推荐文章于 2023-08-05 11:53:34 发布
最新推荐文章于 2023-08-05 11:53:34 发布
阅读量127 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hangyu628/article/details/39161381
版权

rsyslog 是标准Linux系统的一部分,能够实时的写日志,并且还可以将日志选择性的发送到远程日志服务器。


要审计用户执行的命令,简单的依赖.bash_history 或 script 是不可靠的,两者虽然记录了用户行为,但是可能被用户篡改。利用rsyslog 可以将日志实时写入远程日志服务器,从而杜绝用户篡改,提高审计材料的真实度。


以ubuntu为例,下面的办法可以让rsyslog记录用户所执行的命令以及时间戳,供审计使用。

 

hangyu628
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux 审计系统
04-09
linux 审计系统,关于文件审计,进程审计等,属于内核的一部分。
利用rsysloglinux 操作进行审计
weixin_34206899的博客
12-31 210
环境:客户端和服务端都需要安装rsyslog服务 rsyslog server端 1 2 3 4 5 6 7 cd/etc/rsyslog.d/ catserver.conf $ModLoadimtcp $InputTCPServerRun514 vim/etc/rsyslog.conf local...
linux audit日志通过syslog转发到远端
王教主的博客
05-10 2089
流程: 开启audit → 配置rsyslog读audit.log文件 → 转发到远端 1.开启audit 重启audit service auditd restart 确认audit.log产生日志 cat /var/log/audit/audit.log 2.配置rsyslog读audit.log文件 编辑 /etc/rsyslog.conf,添加以下内容 #audit log $ModLoad imfile $InputFileName /var/log/audit/audit.log $Inpu
日志服务器(搭建syslog\rsyslog收集服务)
07-22
1. **选择和安装操作系统**:首先,你需要一个支持syslog和rsyslog的服务端操作系统,如Ubuntu、CentOS或Debian等Linux发行版。这里我们假设你选择了Ubuntu。 2. **安装rsyslog**:在终端中运行`sudo apt-get ...
Linux7.6 +rsyslog8.24+LogAnalyzer4.1.11 日志收集系统成功安装配置笔记
08-06
在本文中,我们将深入探讨如何在Linux环境下,特别是使用CentOS 7.6,搭建一个基于rsyslog 8.24的日志收集系统,并利用LogAnalyzer 4.1.11作为前端展示工具。这个系统能够有效地收集、管理和分析来自不同来源的日志...
西南科技大学+Linux实验报告+Linux网络安全管理报告
01-26
学习使用`logrotate`进行日志切割,以及如何利用Linux系统日志管理功能,如`syslog`,收集和分析日志信息。`tripwire`工具用于监控文件系统的完整性,确保没有未经授权的修改。 4. **文件完整性检查**: `...
Linux系统日志文件的打印与存储
02-24
Linux系统中,日志文件的管理和分析是系统维护和故障排查的重要环节。日志文件记录了系统运行过程中的各种事件,包括系统启动、服务状态、应用程序错误、安全事件等,为管理员提供了宝贵的信息资源。本文将深入...
linux常见服务器配置
01-12
- **日志审计**:配置`syslog`和`rsyslog`收集系统日志,定期分析,发现潜在威胁。 4. **服务管理** - **Systemd**:Linux系统的初始化系统,负责启动、管理和控制服务,如`systemctl start/stop/restart service...
关于rsyslog转发auditd日志配置过程及问题排查
最新发布
喜欢悠闲的博客
08-05 1477
于是再次查找了日志信息 中(audispd: No plugins found, exiting),询问gpt后,了解到audispd一个非常重要的组件,audispd是一个用于处理和转发audit事件的守护程序。在反复修改rsyslog.conf配置文件时,发现每次使用命令systemctl stop audit停止服务,服务端可以收到来自客户端的audit日志,但是用命令systemctl start audit开启服务后,则服务端停止接收audit日志。MODULES:定义消息来源的模块。
日志审计与分析--Linux日志收集(配置rsyslog服务收集其他Linux服务器日志)
m0_51786204的博客
04-10 4678
实验目的:1、掌握rsyslog配置方法 2、配置rsyslog服务收集其他Linux服务器日志
Linux日志管理rsyslog系统日志管理
s1429583654的博客
11-14 4434
学习Linux日志管理中的rsyslog系统日志的管理,并且学会如何去查看这些日志信息,以及日志的种类,在我们操作报错的时候我们可以通过查看日志来找出错误所在,来进行维护。
linux auditd审计的简单使用和理解
热门推荐
qq_26614295的博客
08-29 1万+
linux audit审计(4)--audit的日志切分,以及与rsyslog的切分协同使用
weixin_30951743的博客
04-03 943
audit的规则配置稍微不当,就会短时间内产生大量日志,所以这个规则配置一定要当心。当audit日志写满后,可以看到如下场景: -r-------- 1 root root 8388609 Mar 31 11:47 audit.log.997 -r-------- 1 root root 8388780 Mar 31 11:47 audit.log.998 -r-------- 1 ro...
Auditd - Linux 服务器安全审计工具
闲云孤鹤
02-20 4424
首先,Linux中国祝贺读者 2015羊年春节快乐,万事如意! 。下面开始这个新年版审计工具的介绍。 安全防护是首先要考虑的问题。为了避免别人盗取我们的数据,我们需要时刻关注它。安全防护包括很多东西,审计是其中之一。 我们知道Linux系统上有一个叫 auditd 的审计工具。这个工具在大多数Linux操作系统中是默认安装的。那么auditd 是什么?该如何使用呢?下面我们开始介绍。
linux audit 日志发送,Flume采集rsyslog发送的audit日志
weixin_36436373的博客
05-02 356
推荐文章本文内容可查看目录本文内容包含单节点(单agent)和多节点(多agent,采集远程日志)说明一、环境linux系统:Centos7 Jdk:1.7Flume:1.7.0二、安装linux中jdk、mysql的安装不多赘述flume1.7的安装:进入官网:http://flume.ap推荐文章一、Flume的安装部署下载解压 tar -zxvf flume-ng-1.5.0-cdh5.3....
Flume采集rsyslog发送的audit日志
u012085379的专栏
03-03 2531
flume采集rsyslog发送的linux audit日志。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值