服务器记录所有用户docker操作,监控删除容器/镜像的人

已于 2025-03-11 16:22:42 修改
阅读量1.4k 收藏 24
点赞数 13
分类专栏: Linux 文章标签: 服务器 docker 运维
于 2024-11-27 17:05:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mooneve/article/details/144088300
版权

文章目录

优先查询系统日志

# 推荐
sudo grep docker /var/log/auth.log
# 其它可用命令
sudo cat /root/.bash_history | grep docker
sudo grep delete /var/log/docker.log
sudo grep docker /var/log/secure

使用场景

多人使用的服务器,使用的docker 容器或镜像被其他人删除,需要找到删除的人

查找方法:安装使用auditd工具,并配置规则记录所有用户的docker操作

auditd 是 Linux 审计守护进程(Audit Daemon),用于记录系统活动和安全事件。它是 Linux 内核审计子系统的一部分,帮助系统管理员跟踪关键系统事件、访问控制、用户活动等,从而增强系统安全性和合规性。

主要功能

  • 事件记录:记录系统调用(如文件访问、网络操作)以及用户、进程和权限相关的活动。
  • 安全审计规则:系统管理员可以定义规则,指定要审计的事件,比如监控特定文件或目录的访问。
  • 详细的审计日志:审计事件被存储在 /var/log/audit/audit.log 文件中,提供详细的信息,如时间戳、用户、进程ID、操作类型、结果(成功/失败)等。
  • 实时监控:可以使用工具(如 ausearch 或 auditctl)实时监控和查询审计日志。
  • 用户管理审计:监控用户登录、登出、权限更改等敏感操作。
  • 文件完整性监控:结合 auditd 和 audit rules,可以监控重要文件的访问、修改或删除操作。

相关工具

  • auditctl:管理和配置审计规则。
  • ausearch:搜索审计日志中的特定事件。
  • aureport:生成审计报告的工具。
  • aulast:显示用户登录和登出信息。
  • autrace:用于跟踪特定命令的审计事件。

常见用途

  • 合规性审计
  • 确保系统符合安全标准,如 PCI DSS、HIPAA 等。
  • 入侵检测
  • 监控可疑活动,如未经授权的访问或权限提升。
  • 系统故障排除
  • 调查安全事故或操作系
最低0.47元/天 解锁文章
Docker(九):Docker轻量级可视化工具Portainer与容器监控3剑客CAdvisor+InfluxDB+Granfana
✨ 欢迎来到【Seal ^_^ 的CSDN博客】!✨
09-14 4万+
🟢 Docker(九):Docker轻量级可视化工具Portainer与容器监控3剑客CAdvisor+InfluxDB+Granfana
监控 Docker 容器性能指标
TechEnthusiast的博客
05-28 194
容器在每个 CPU 内核上的累积占用时间 (单位: 秒)容器 System CPU 累积占用时间 (单位: 秒)容器 User CPU 累积占用时间 (单位: 秒)容器可以使用的文件系统总量 (单位: 字节)容器网络累积接收数据总量 (单位: 字节)容器网络累积传输数据总量 (单位: 字节)容器中文件系统的使用量 (单位: 字节)容器累积读取数据的总量 (单位: 字节)容器累积写入数据的总量 (单位: 字节)容器的最大内存使用量 (单位: 字节)容器当前的内存使用量 (单位: 字节)容器的内存使用量限制。
Docker 日志(实时查看和清理)
宇宙小神特别萌
11-06 1995
文章目录一、docker logs 查看实时日志二、docker容器日志2.2 清理Docker容器日志(治标)2.3 设置Docker容器日志大小(治本) 一、docker logs 查看实时日志 docker logs -f -t --since=“2017-05-31” --tail=10 edu_web_1 命令说明: –since : 此参数指定了输出日志开始日期,即只输出指定日期之后的日志。 -f : 查看实时日志 -t : 查看日志产生的日期 -tail=10 : 查看最后的10条日志。
ubuntu20.04 Auditd使用教程(监控所有用户命令输入记录,包括常用命令、运行脚本、pip安装、apt安装等)(操作监控、输入监控、命令监控操作日志、命令日志、history命令)失败了
Dontla的博客
12-20 5116
我想使用Auditd记录所有用户的命令输入记录,但是我,我仍然不知道怎么方便查看Auditd的具体命令记录。我只能查到类似如下的记录:虽然有执行的工作路径、可执行文件名,也有参数,但并不是很直观,对吧 - -
docker查看,删除,停止,暂停,恢复容器详解
最新发布
m0_66705547的博客
10-12 3091
10. 实时显示 Docker 守护进程产生的事件(仅显示容器启动事件)(假设你有一个名为 `my_app_container` 的容器)。8. 在容器中执行命令(进入容器的 Bash 终端)16. 过滤显示特定类型的事件(例如容器启动事件)13. 查看容器的前100条日志,并显示时间戳。15. 查看容器的资源使用情况,不持续更新。17. 查看容器的详细信息,格式化输出。1. 查看所有容器(包括已停止的)18. 查看容器的磁盘使用情况。5. 查看容器内的所有进程。20. 查看容器的环境变量。
docker删除容器日志
storm_hsq的博客
08-01 4943
docker删除容器日志文件
linux 安装docker 及 基础使用
qq_16183731的博客
07-29 6389
1.查看是否安装docker [root@localhost ~]# yum list installed | grep docker 2.用yum源安装 [root@localhost ~]# yum -y install docker 3.启动Docker [root@localhost ~]# systemctl start docker 4.查看docker服务状态 [root@localhost ~]# systemctl status docker 5. 设置开机启动 [r
dockerdocker容器+镜像基本操作
weixin_50382197的博客
05-31 1181
docker image inspect 查看详细信息。
Docker容器日志查看与清理(亲测有效)
yjk13703623757的博客
05-11 15万+
1. 问题 docker容器日志导致主机磁盘空间满了。 2. 解决方法 2.1 找出Docker容器日志 容器日志一般存放在/var/lib/docker下面,查看各个日志的文件大小 # ls -lh $(find /var/lib/docker/containers/ -name *-json.log) 2.2 清理Docker容器日志 如果docker容器正在运行,那么使...
删除docker容器日志
shuux666的博客
04-11 848
1. 问题 docker容器日志导致主机磁盘空间满了。docker logs -f container_name噼里啪啦一大堆,很占用空间,不用的日志可以清理掉了。 2. 解决方法 2.1 找出Docker容器日志 在linux上,容器日志一般存放在/var/lib/docker/containers/container_id/下面,查看各个日志文件大小的脚本docker_log_size.sh,内容如下: #!/bin/sh echo "======== docker containers logs f
Docker 删除镜像
热门推荐
点滴记录,积流成河!
09-14 24万+
本以为删除镜像会很简单,但是删除过程中并不是那么顺利。 1. 查询镜像 现在想删除第一个,ID为99f85991949f 的镜像
docker容器中启动audit服务失败
Blue summer的博客
11-15 1952
注:本文基于CentOS 6.5编写 1、背景 在容器中启动audit服务,一直报错, [root@localhost /]# service auditd start Starting auditd: [FAILED] [root@localhost /]# 2、原因和解决方案 报错是因为当前audit不支持在容器中...
docker 删除记录_Docker一键安装部署和常用命令!
weixin_36422176的博客
01-19 299
最近博主用调试Docker内容,顺手记录一下,我常用的几个命令!这里总结一下,方便自己也同时方便大家使用!内容慢慢完善更新!如有不对请指点哈!!!安装脚本一键安装脚本!Linux系统都支持!curl-sSLhttps://get.docker.com/|sh迁移目录主要是为了不让Docker镜像容器占用系统盘的容量!如果就一块盘或者系统盘容量大,这部分内容可忽略!#测试安装NG...
docker清理日志
白及
11-22 7838
第一步:docker ps -a 第二步:docker inspect CONTAINER ID 第三步:找到log 然后。。。。。。。log-json.log那个 第四部:cat /dev/null > /var/log/......log-json.log
docker 删除记录_docker自学随记
weixin_29798625的博客
01-31 261
目前只记录零散的知识点,不成体系。容器内打开多个终端:1、通过docker ps指令获取要打开的容器的id2、在指定容器打开终端 docker exec -it ${container_id} /bin/bash1.docker 配置notebook2.docker内配置jupyter notebookdocker jupyter notebook - 搜索结果 - 知乎​www.zhihu.co...
docker 删除所有容器镜像,数据卷
心飞路漫的博客
09-19 7716
#以下,按需求开启 #以下,按需求开启 #停止容器 docker stop $(docker ps -a -q) #删除容器 docker rm $(docker ps -a -q) #删除镜像 docker image rm $(docker image ls -a -q) #删除数据卷: #docker volume rm $(docker volume ls -q) #删...
Docker学习笔记(四)之容器查看启动终止删除
辛明辉的专栏
10-27 6万+
查看docker ps 主要有些参数要说一下 1. 不加参数,表示查看当前正在运行的容器 2. -a,查看所有容器包括停止状态的容器 3. -l,查看最新创建的容器 4. -n=x,查看最后创建的x个容器 列一下docker ps的结果 CONTAINER ID IMAGE COMMAND CREATED
docker 删除记录_测开必备技能docker常用命令操作
weixin_39617470的博客
01-31 311
在上篇文章,我们对dokcer的环境搭建做了讲解,传送门:测开必备技能--docker环境搭建 今天,我们在实际中去操作下,看看,怎么去使用的。一、docker 容器信息 输入命令 docker --help 查看帮助。如下图,返回了各种的命令的讲解 如果查看docker的版本,可以输入docker version返...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值