本文详细介绍了Linux系统中auditd服务的安装、启动、状态检查、自定义文件监控、审计日志查看及规则管理。通过auditctl和ausearch等工具,可以实现对系统操作的审计和日志分析,确保系统安全。此外,还提到了如何修改配置文件以持久化监控规则,并展示了生成审计日志报告的方法。
1、安装
centos:默认安装
Ubuntu:sudo apt install auditd
2、开启auditd服务
systemctl start auditd
3、查看当前auditd服务状态
systemctl status auditd
auditctl -s
4、重启auditd服务
systemctl restart auditd 或 systemctl reload auditd
5、自定义对指定文件或目录进行监视
(1)命令行语法(暂时生效,系统重启后失效):
auditctl -h 查看auditctl命令使用规则,如下:
常用监视指令示例:
auditctl -w /etc/passwd -p rwxa
-w path : 指定要监控的路径,上面的命令指定了监控的文件路径 /etc/passwd
-p : 指定触发审计的文件/目录的访问权限
-k 给当前这条监控规则起个名字,方便搜索过滤
rwxa : 指定的触发条件,r 读取权限,w 写入权限,x 执行权限,a 属性(attr)
(2)修改配置文件
auditd的配置文件为/etc/audit/audit下的auditd.conf 和audit.rules,auditd.conf 主要是定义了auditd服务日志和性能等相关配置,audit.rules才是定义规则的文件,下面是一个例子,其实就是把auditctl的命令直接拿过来即可,auditctl里支持的选项都可以在这个文件里指定。
修改之后要重启auditd服务。
6、查看监视日志
ausearch -h 查看ausearch命令使用规则,如下
ausearch -f /etc/passwd 查看对此文件夹的审计日志
7、aureport
生成简要日志报告
8、查看定义的规则
auditctl -l
9、清空定义的规则
auditctl -D
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
