Linux监控文件被什么进程修改、删除,审计工具auditd

已于 2022-04-19 20:51:22 修改
阅读量3.4k 收藏 4
点赞数
分类专栏: linux 文章标签: linux
于 2022-04-12 17:34:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liupenghui_200/article/details/124128865
版权

安装: apt-get install auditd.

1.auditd 是后台守护进程,负责监控记录
2.auditctl 配置规则的工具
3.auditsearch 搜索查看
4.aureport 根据监控记录生成报表

比如,监控 /root/.ssh/authorized_keys 文件是否被修改过:

aditctl -w /root/.ssh/authorized_keys -p rwax -k auth_key

•-w 指明要监控的文件
•-p awrx 要监控的操作类型,append, write, read, execute
•-k 给当前这条监控规则起个名字,方便搜索过滤

ausearch -i -k auth_key 查找key字段搜索审计日志
ausearch -f file_name 根据文件名搜索审计日志
也可以在/var/log/audit/audit.log文件中看到具体的监控信息

aureport 生成报简要报告
auditctl -l 查看定义的规则
auditctl -D 清空定义的规则和监控

参考链接:Linux 监控文件被什么进程修改(详解)

如果要在程序中监控文件及目录的变化,推荐使用inotify
参考链接:Linux目录、文件事件监控

快乐的小青蛙一只
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux 监控文件被什么进程修改(详解)
01-10
安装: apt-get install auditd. 1.auditd 是后台守护进程,负责监控记录 2.auditctl 配置规则的工具 3.auditsearch 搜索查看 4.aureport 根据监控记录生成报表 比如,监控 /root/.ssh/authorized_keys 文件是否被修改过: aditctl -w /root/.ssh/authorized_keys -p war -k auth_key •-w 指明要监控文件 •-p awrx 要监控的操作类型,append, write, read, execute •-k 给当前这条监控规则起个名字,方便搜索过滤 查看修
Linux安全之auditd审计工具使用说明
月生的静心苑
11-28 5899
audit 我们可以使用auditctl临时配置规则,服务重启失效,如果需要配置永久生效,我们需要将规则写入到配置文件中。auditd审计规则分成三个部分,控制规则:这些规则用于更改审计系统本身的配置和设置。文件系统规则:这些是文件或目录监视。使用这些规则,我们可以审核对特定文件或目录的任何类型的访问。系统调用规则:这些规则用于监视由任何进程或特定用户进行的系统调用。使用 ausearch ,您可以过滤和搜索事件类型。它还可以通过将数值转换为更加直观的值(如系统调用或用户名)来解释事件。
Linux 监控文件被什么进程修改
weixin_33753003的博客
01-08 2571
安装: apt-get install auditd. auditd 是后台守护进程,负责监控记录 auditctl 配置规则的工具 auditsearch 搜索查看 aureport 根据监控记录生成报表 比如,监控 /root/.ssh/authorized_keys 文件是否被修改过: aditctl -w /root/.ssh/authorized_keys -p wa...
linux下的文件审计功能(audit inotify)
weixin_34324081的博客
08-24 215
为了满足这样的需求:记录文件变化、记录用户对文件的读写,甚至记录系统调用,文件变化通知。 本文介绍audit和inotify. 什么是audit The Linux Audit Subsystem is a system to Collect information regarding events occurring on the system(s)  Kernel e...
Linux监控文件删除,linux 监控文件的创建删除更改
weixin_32666933的博客
04-30 440
//list.h#ifndef _LIST_H#define _LIST_H#include #include #include typedef struct{time_t mtime;char name[256];}File;typedef struct _ListNode{File data;struct _ListNode *next;}ListNode;typedef struct{Lis...
LINUX 目录变动审计   --薛忠权 ERIKXUE
weixin_34361881的博客
06-04 81
新到一公司,他们的服务器最近被挂马,然后想利用一个脚本能够实时监控web目录下文件的变化,也就是对该目录的增删改操作都会记录到相应日志下。当时感觉这个功能的确实有点意思,所以网上查阅了些资料,自己研究了下,这会儿有空写了个脚本,分享给大家,如有问题,还请大家指出。以下我写了两个脚本:脚本1:将需要监控的目录的原始状态保存到LOG日志脚本2:将脚本1的原始状态与本脚本比对,如果...
Linux audit 日志审计服务安装及使用
01-12
这里的 `-w` 选项指定了要监控的路径,`-p` 选项指定了触发审计文件/目录的访问权限,`rwxa` 指定了触发条件,包括读取、写入、执行和属性修改权限。 查看审计日志 可以使用 `ausearch` 工具查看审计日志。例如...
如何监控 Linux 服务器状态
09-14
安装和配置审计系统(如 Auditd)可以记录重要的系统事件,包括用户登录、文件访问等,以便于追踪异常行为。 总的来说,监控 Linux 服务器状态需要综合运用多个工具和技巧,根据具体需求选择合适的监控方式,并...
auditd-attack:映射到MITRE的Attack FrameworkLinux Auditd规则集
02-04
"auditd-attack" 是一个针对Linux操作系统的审计工具,它与MITRE的Attack Framework紧密结合,提供了强大的安全监控能力。MITRE的Attack Framework是一个广泛认可的资源,用于理解和应对网络安全威胁,它详细列出了...
Linux虚拟机的安全审计-bruce1
08-08
`auditd`是Linux内核审计子系统的用户空间守护进程,负责收集、过滤和存储系统的审计事件。通过审计,我们可以追踪到系统中关键文件和目录的变更,以便在发生异常时迅速定位问题源头。 在CentOS 7.3环境下,安装`...
linux审计文档
weixin_34293059的博客
01-12 123
linux审计文档2.6 Linux内核有用日志记录事件的能力,比如记录系统调用和文件访问。然后,管理员可以评审这些日志,确定可能存在的安全裂口,比如失败的登录尝试,或者用户对系统文件不成功的访问。这种功能称为Linux审计系统,在Red Hat Enterprise Linux 5中已经可用。  要使用Linux Auditing System,可采用下面的步骤:(1) 配...
怎么查linux上谁删了文件,如何在 Linux 下快速找到被删除文件?
weixin_39707536的博客
05-03 7649
日常运维过程中,我们经常需要处理磁盘空间问题,当接到告警后,第一时间会去找那些大文件,一般比如 Centos,可能大文件就是 /var/log/messages。但有的时候,会出现怎么也查不到大文件的情况,通过 du 查找的时候,统计出来的大小,跟 df 显示的占用空间对应不上。如果通过 df -i 查看inode没有满的话,那么极有可能,是有大文件被直接rm了,但是仍然有进程打开了这个文件。这种...
Linux监控文件删除,10个Linux常用的网络、监控命...-Linux文件夹与文件创建、删除...-Linux删除文件rm命令的用法举例_169IT.COM...
weixin_39548733的博客
04-30 209
本节内容:Linux文件夹与文件创建、删除命令linux删除目录很简单,很多人习惯用rmdir。对于非空的目录,可以使用rm -rf命令即可。直接rm就可以了,不过要加两个参数-rf 即:rm -rf 目录名字删除目录、文件 rm(remove)功能说明:删除文件或目录。语  法:rm [-dfirv][--help][--version][文件或目录...]补充说明:执行rm指令可删除文件或目录...
Auditd - Linux 服务器安全审计工具
闲云孤鹤
02-20 4421
首先,Linux中国祝贺读者 2015羊年春节快乐,万事如意! 。下面开始这个新年版审计工具的介绍。 安全防护是首先要考虑的问题。为了避免别人盗取我们的数据,我们需要时刻关注它。安全防护包括很多东西,审计是其中之一。 我们知道Linux系统上有一个叫 auditd 的审计工具。这个工具在大多数Linux操作系统中是默认安装的。那么auditd 是什么?该如何使用呢?下面我们开始介绍。
linux服务——auditd
热门推荐
updba的专栏
03-24 1万+
审计audit)是linux安全体系的重要组成部分,他是一种“被动”的防御体系。 在内核里有内核审计模块,核外有核外的审计后台进程auditd。 应用程序给内核发送审计消息,内核的审计模块再把消息转发给用户空间的后台进程auditd处理。 大概就是这么回事,我不是太深入,如果需要更多的内容,自己去查阅相关资料。如果没有好的资料,我推荐一本,《linux安全体系分析与编程》作者倪继利 。
【安全】linux audit审计使用入门
最新发布
wangluoanquan111的博客
03-22 1175
rules:审计规则,其中配置了审计系统需要审计的操作auditctl:用户态程序,用于审计规则配置和配置变更kaudit:内核空间程序,根据配置好的审计规则记录发生的事件auditd:用户态程序,通过netlink获取审计日志用户通过auditctl配置审计规则内核的kauditd程序获取到审计规则后,记录对应的审计日志用户态的auditd获取审计日志并写入日志文件audit的主要应用场景是安全审计,通过对日志进行分析发现异常行为。
Linux 审计工具 auditd 命令
huanghjunjun的博客
10-14 1万+
auditd 常用来对文件修改进行监听
linux下如何查询某个文件何时被什么进程创建的
06-08
Linux 中,如果你想查询某个文件何时被创建,可以通过以下几种方式来实现: 1. 使用 `stat` 命令来查看文件的元数据信息: ``` stat filename ``` 执行该命令后,你可以看到包括文件的创建时间在内的所有元数据信息。 2. 使用 `auditd` 工具进行审计: ``` sudo auditctl -w /path/to/file -p w -k file-creation sudo ausearch -k file-creation -i /path/to/file ``` 第一行命令将 `/path/to/file` 文件添加到审计规则中,以便记录该文件的创建、修改删除等操作。第二行命令用于查看 `/path/to/file` 文件审计日志信息,其中 `-i` 参数用于显示详细信息。 3. 使用 `inotifywait` 工具进行监控: ``` sudo inotifywait -m -e create /path/to/file ``` 该命令将监控 `/path/to/file` 目录下的文件创建事件,并在文件创建时输出相关信息。 如果你想查询某个进程何时创建了某个文件,可以使用 `ps` 命令查看进程启动时间,然后再和文件的创建时间进行比较。例如,要查看进程 ID 为 `1234` 的进程启动时间,可以运行以下命令: ``` ps -p 1234 -o lstart ``` 执行命令后,你将会看到进程启动的时间。然后你可以使用 `stat` 命令查看文件的创建时间,以此来比较进程启动时间和文件创建时间。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值