linux审计日志添加规则

最新推荐文章于 2024-04-28 10:57:22 发布
最新推荐文章于 2024-04-28 10:57:22 发布
阅读量679 收藏 2
点赞数
分类专栏: Linux shell
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34145309/article/details/116713050
版权

linux审计日志添加规则

查看audit日志服务状态
systemctl status auditd

在 /etc/audit/rules.d/audit.rules中添加
-a exit,always -F arch=b64 -S kill -k kill_signals

监控某个文件的权限修改
auditctl -w /tmp/tmp123 -p a -k tmp123

清空规则
auditctl -D
查看规则
auditctl -l
重启auditd服务
systemctl restart auditd
如果kill -9的操作没有被记录可以重启ssh会话,把audit规则中的-b 调大一些比如8192

qq_34145309
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux安全基线-审计配置9小项
bigwood99的博客
09-30 1635
监视sudo日志文件。如果系统已正确配置为禁用该su命令,并强制所有管理员必须先登录然后sudo才能执行特权命令,则所有管理员命令都将登录到/var/log/sudo.log。该文件/var/log/lastlog保留用户最后一次成功登录的记录。该文件/etc/sudoers被写入或其属性已更改为。该文件/var/run/utmp跟踪所有当前登录的用户。/var/log/wtmp文件跟踪登录,注销,关闭和重新启动事件。将以下行添加到/etc/audit/rules.d/audit.rules文件末尾。
audit审计规则配置方法
热门推荐
bigwood99的博客
09-06 1万+
1.概述 Linux提供了一个审计服务auditd。 默认情况下,开启这个服务只记录较少的资料。 这可能不满足大多数人的需要。但是如果开启全部记录,对于生产环境,可能负载过重,导致影响正常的服务。因此,根据实际需要进行配置是必须的。 Linux系统提供了一些配置的例子可以参考。 /usr/share/doc/audit-2.4.5 audit规则可以使用auditctl命令或配置规则文件来实现。 auditctl命令可以立即生效,但是重启服务会丢失配置的规则。 使用配置文件配置,需...
linux 永久插入规则,linux audit审计(6)--audit永久生效的规则配置
weixin_35217123的博客
05-16 825
定义reboot系统后,仍然生效的审计规则,有两种办法:1、直接写入/etc/audit/audit.rules文件中,在service文件中需要加入ExecStartPost=-/sbin/auditctl -R /etc/audit/audit.rules2、将规则文件放入到/etc/audit/rules.d/目录下,在service文件中加入ExecStartPost=-/sbin/aug...
操作系统安全的基石:Linux安全审计日志详解
最新发布
qq_44103359的博客
04-28 449
本文将详细介绍Linux安全审计日志机制,包括基本概念、审计策略、日志格式、以及如何使用和配置这些机制。文章将涵盖Linux安全审计的优势、审计日志的生成、以及实际应用案例。通过本文的学习,读者可以掌握Linux安全审计日志的基本技巧,并在实际项目中得心应手。在Linux操作系统中,安全审计日志机制是确保系统安全的关键组成部分。本文将详细介绍Linux安全审计日志机制,帮助读者了解如何使用和配置这些机制,以提高Linux系统的安全性。一、Linux安全审计的基本概念。
linux审计功能及规则audit.rule)
winnieFighting
11-28 2514
在 /etc/audit/rules.d/audit.rules文件中,我们可以设置相应的规则,也就是我们具体要监控哪些操作,哪些文件,当这些文件有一些读写修改的操作的时,在/var/log/audit/audit.log 中记录下来这些操作,这样我们就可以在audit.log 查看操作记录了。备注:当使用 auditctl -l 查看规则的时候,如果提示 no rules的时候,需要先执行 auditctl -R /etc/audit/rules.d/audit.rules 加载规则文件。
linux审计进程规则,linux audit审计(5)--audit规则配置
weixin_39552538的博客
04-29 1367
audit可以配置规则,这个规则主要是给内核模块下发的,内核audit模块会按照这个规则获取审计信息,发送给auditd来记录日志规则类型可分为:1、控制规则:控制audit系统的规则;2、文件系统规则:也可以认为是文件监控,可以监控一个特定文件或者一个路径。3、系统调用规则:可以记录特定程序的系统调用。audit规则可以通过auditctl,在命令行里输入,这些设置的规则为临时的,当系统重启后...
rsyslog所有用户日志审计
12-22
为了审计sudo操作,需要在rsyslog配置文件中添加相应的规则。在上面的部分内容中,添加了以下命令: echo "local2.debug /var/log/sudo.log">>/etc/rsyslog.conf 这条命令将sudo操作的日志信息记录到/var/log/sudo...
Linux audit 日志审计服务安装及使用
01-12
* `auditctl`:即时控制审计守护进程的行为的工具,可以添加规则等等。 * `/etc/audit/audit.rules`:记录审计规则的文件。 * `aureport`:查看和生成审计报告的工具。 * `ausearch`:查找审计事件的工具。 * `...
Linux配置日志服务器的图文教程
09-15
Linux环境中,日志服务器是收集、管理和分析系统日志的关键组件,对于系统监控、故障排查和安全审计具有重要作用。本教程将详细讲解如何在Linux上配置日志服务器,包括服务器端和客户端的设置。 首先,我们需要...
linux-定时清除日志
11-09
logrotate是Linux系统中专门用于日志轮换的工具,它不仅可以清理旧日志,还能按照设定的规则自动压缩、归档和发送邮件通知。 总之,通过合理设置crontab任务和编写适当的清理脚本,我们可以有效地管理Linux系统的...
Linux虚拟机的安全审计-bruce1
08-08
通过上述步骤,我们可以构建一个基础的Linux安全审计框架,监控系统关键部分的变动,并在出现问题时提供详实的审计日志,从而增强系统的可追溯性和安全性。然而,安全审计是一个持续的过程,需要根据实际需求不断...
linux审计audit可以定义的规则,linux audit审计(5)--audit规则配置
weixin_35900383的博客
05-15 953
audit可以配置规则,这个规则主要是给内核模块下发的,内核audit模块会按照这个规则获取审计信息,发送给auditd来记录日志规则类型可分为:1、控制规则:控制audit系统的规则;2、文件系统规则:也可以认为是文件监控,可以监控一个特定文件或者一个路径。3、系统调用规则:可以记录特定程序的系统调用。audit规则可以通过auditctl,在命令行里输入,这些设置的规则为临时的,当系统重启后...
audit详细使用配置
张无忌
05-09 3440
Linux audit通过分析系统上正在发生的细节信息,能够有效帮助您提高系统的安全。但是,它本身不提供额外的安全性保障----它不会保护你的系统免受代码故障或者任何类型的漏洞攻击。Audit服务对跟踪这些安全问题非常有用,并且有效帮助我们采取何种针对性的安全措施。
审计规则配置
weixin_44683938的博客
01-24 2258
groupadd shenjiguanli useradd -g shenjiguanli audit audit 配置文件简介 audit 安装后会生成 2 个配置文件: /etc/audit/auditd.conf 和/etc/audit/audit.rules 。/etc/audit/auditd.conf 是守护程序的默认配置文件。/etc/audit/audit.rules 是记录审计规则的文件。首次安装 audit 后, 审计规则文件是空的。 注意: #查看审计规则 #auditctl -l
Linux audit规则设置篇】
u010154760的专栏
04-08 1万+
前面两篇博文介绍了Linux audit的架构,以及守护auditd的配置。让audit真正的为我们服务,还需要配置audit规则,也就是说我们要audit什么样的事件,具体什么事件需要audit来监控跟实际的应用有关。这里主要介绍audit规则配置工具auditctl和文件配置方法/etc/audit/audit.rules.      这里首先介绍auditctl的应用,具体使用指南
linux audit审计服务audit.rules策略参数
weixin_34233856的博客
05-08 2131
auditlinux内核的特性,可以通过内核参数audit=1来启用。/etc/audit/audit.rules是audit规则文件,本文主要讲述如何利用audit来监视系统重要资源。一、监控文件系统行为(依靠文件、目录的权限属性来识别)规则格式:-w 路径 -p 权限 -k 关键字其中权限动作分为四种r 读取文件w 写入文件x 执行文件a 修改文件属性示例,监控/e...
linux audit审计(6)--audit永久生效的规则配置
weixin_30216561的博客
04-11 1444
定义reboot系统后,仍然生效的审计规则,有两种办法: 1、直接写入/etc/audit/audit.rules文件中,在service文件中需要加入ExecStartPost=-/sbin/auditctl -R /etc/audit/audit.rules 2、将规则文件放入到/etc/audit/rules.d/目录下,在service文件中加入ExecStartPost=-/sbin...
Linux安全基线-audit审计规则配置7小项(CentOS8)
bigwood99的博客
09-30 1385
监视与文件和文件属性的删除或重命名关联的系统调用的使用。此配置语句设置对unlink(删除文件),unlinkat(删除文件属性),rename(重命名文件)和renameat(重命名文件属性)系统调用的监视,并使用标识符“delete”对其进行标记。以下参数监视sethostname(设置系统主机名)或setdomainname(设置系统域名)系统调用,并在系统调用出口上写入审核事件。并且将审核记录写入文件/var/log/audit.log,并用标识符“ time-change”标记记录。
linux审计功能
lishenglong666的专栏
12-16 3700
linux审计功能(audit) 2010-09-30 16:40:34|  分类: 工作|字号 订阅 2.6 Linux内核有用日志记录事件的能力,比如记录系统调用和文件访问。然后,管理员可以评审这些日志,确定可能存在的安全裂口,比如失败的登录尝试,或者用户对系统文件不成功的访问。这种功能称为Linux审计系统,在Red Hat Enterprise
linux审计功能开启
05-25
可以通过编辑 `/etc/audit/audit.rules` 文件来添加规则。例如,以下规则会记录所有用户登录事件: ``` -w /var/log/faillog -p wa -k logins -w /var/log/lastlog -p wa -k logins ``` 4. 重新加载审计规则:...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值