Linux-安全审计-auditd.log解读

最新推荐文章于 2024-06-01 10:30:00 发布
最新推荐文章于 2024-06-01 10:30:00 发布
阅读量1.7k 收藏 4
点赞数
分类专栏: Linux
本文链接:https://blog.csdn.net/qq_38135115/article/details/114016853
版权

succeed=yes/no,说明此次syscall成功或失败
exit=-13说明syscall的返回值是-13
a0,a1,a2,a3指明了前4个参数,也是编码成16进制,通过ausearch命令可以解码查看
items指出event中的path记录的数量
ppid指明Parent Process ID,即父进程ID
pid指明了进程ID
auid指出audit user ID,即当时的登陆uid
uid指出了对应进程的所有者ID
gid对应进程的group ID
euid对应进程的effective user ID
suid对应set user ID
fsuid对应file system user ID
egid对应effective group ID
sgid对应set group ID
fsgid对应file system group ID
tty指出对应进程是在哪个终端启动的
ses指出了对应进程的session ID
comm对应了进程执行的命令
exe指出了进程的执行文件的路径
subj指出进程执行时selinux上下文
key是管理员定义的标明是哪条rule输出了这条audit日志
第二条日志中CWD指出了进程的执行目录(current working directory),cwd字段指出了第一条日志中syscall的执行路径
第三条日中用来记录所有传递给syscall作为参数的路径,在这个audit事件中,仅有/etc/ssh/sshd_config作为参数进行传递,通过name字段指明
inode指出了与文件或目录相对应的inode number,可以通过下面的命令查看inode对应的文件或目录:
find/ -inum -print
time :审计时间
name :审计对象
cwd :当前路径
syscall :相关的系统调用
auid :审计用户ID
uid和 gid :访问文件的用户ID和用户组ID
comm :用户访问文件的命令
exe :上面命令的可执行文件路径。

z-Lying
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux内核审计日志audit_log,linux audit审计(4)--audit的日志切分,以及与rsyslog的切分协同使用...
weixin_39616961的博客
05-08 1161
audit的规则配置稍微不当,就会短时间内产生大量日志,所以这个规则配置一定要当心。当audit日志写满后,可以看到如下场景:-r-------- 1 root root 8388609 Mar 31 11:47 audit.log.997-r-------- 1 root root 8388780 Mar 31 11:47 audit.log.998-r-------- 1 root root ...
Linux安全审计功能的实现——audit详解
u012759006的博客
04-29 1万+
1、安装: centos默认安装,Ubuntu:sudo apt-get install auditd 2、开启auditd服务: service auditd start 3、查看当前auditd服务状态: service auditd status auditctl -s 4、重启auditd服务: service auditd restart 或 service audi...
yarn-auditlog-parser:Yarn的hdfs-audit.log的日志文件解析,从ip,用户名,时间段维度对hdfs的qps量进行统计
05-09
yarn-auditlog-parser Yarn的hdfs-audit.log的日志文件解析,从ip,用户名,时间段维度对hdfs的qps量进行统计 原理介绍 此工具用于分析hdfs-audit日志文件中的hdfs请求,比如下面是一条完整的记录 2015-09-09 05:29:54,727 INFO FSNamesystem.audit: allowed=true ugi=data (auth:SIMPLE) ip=/192.128.10.15 cmd=open src=/user/data/.staging/job_1441718170682_2949/job.jar dst=null perm=null proto=rpc 解析程序主要抽取出其中的时间,ugi用户信息,ip地址信息,cmd操作命令信息,然后进行各个维度统计. 下面是几种使用方法 1.用户分时段统计 java -j
安全linux audit审计使用入门
最新发布
qq_44005305的博客
06-01 827
rules:审计规则,其中配置了审计系统需要审计的操作auditctl:用户态程序,用于审计规则配置和配置变更kaudit:内核空间程序,根据配置好的审计规则记录发生的事件auditd:用户态程序,通过netlink获取审计日志用户通过auditctl配置审计规则内核的kauditd程序获取到审计规则后,记录对应的审计日志用户态的auditd获取审计日志并写入日志文件。audit的主要应用场景是安全审计,通过对日志进行分析发现异常行为。
Linuxaudit日志的使用方法
热门推荐
Han的小站
02-27 5万+
auditd服务的安装: 以CentOS6.5为例,使用下面的方法确认auditd服务的安装情况: yumlist audit audit-libs 确认以下两个package是否安装: audit.x86_64
## linux 系统 auditlog 是什么?
深耕嵌入式领用多年, 致力于分享嵌入式领域技术!
05-12 1257
## linux 系统 auditlog 是什么?
Office365 - 如何查询Audit log
WarmSunshine7的博客
02-16 664
在做Office365维护的时候,经常会因为一些user report issue,查询change request等需求需要查询Audit log,那么如何在Office365进行查询呢?本文对此做介绍。
Linux audit 安全审计干货
qq_40795955的博客
05-13 1954
目录简介一丶审计规则(Auditctl 和 audit.rules)二丶配置文件(auditd.conf)三丶报告工具(aureport)四丶事件查找(ausearch) 简介 简单来说,修改两个配置文件(/etc/audit/audit.rules 和/etc/audit/auditd.conf ),然后通过aureport和ausearch生成和分析数据。要使用安全审计系统可采用下面的步骤:内核选项勾选和安装软件包(上篇文章已介绍)。添加审计规则,修改配置文件,然后启用 audit 守护进程进行日志记
audit-3.0-5.se.07.ky10.aarch64.rpm
06-07
更新可能包括对新安全特性的支持或增强现有的安全审计能力。 4. **性能优化**:随着版本的升级,新版本可能包含性能优化,如更快的事件处理速度或更高效的日志存储。这将有助于减少系统资源的占用,提高整体效率。 ...
filebeat-7.1.0-linux-x86_64.tar.gz
03-23
Filebeat是本地文件的日志数据采集器,可监控日志目录或特定日志文件(tail file),并将它们...带有内部模块(auditd,Apache,Nginx,System和MySQL),可通过一个指定命令来简化通用日志格式的收集,解析和可视化。
Linux操作系统之安全审计功能-Audit
10-10
Linux操作系统在保障系统安全方面扮演着重要角色,而Audit系统则是Linux中用于实现安全审计的核心组件。本文将深入探讨Linux中的Audit功能,特别是在Kylin Linux Advanced Server release V10 (Tercel)环境下如何...
filebeat-7.4.2-linux-x86_64.tar.gz
11-13
Filebeat 内置有多种模块(auditd、Apache、NGINX、System、MySQL 等等),可针对常见格式的日志大大简化收集、解析和可视化过程,只需一条命令即可。之所以能实现这一点,是因为它将自动默认路径(因操作系统而异)...
puppet-auditd-2.2.0-3.189b22bgit.el7.noarch.rpm
12-28
官方离线安装包,测试可用。使用rpm -ivh [rpm完整包名] 进行安装
AuditLog配置详解
zmj199536的博客
12-03 9143
介绍 auditLog采用Audit4j进行了简单的封装。 配置 在applicaton-.yml中添加auditLog的配置,配置参数如下: # auditLog配置 audit4j: db-handler: # auditLog记录时否分表. 对于业务不是很复杂的应用,一般设置成false即可 separate: false # 是否用内置的数据库记录.一般都是用自...
auditd日志分析方法
weixin_38637595的博客
05-22 2868
auditd是监听目录下的文件操作 你可以通过auditd配置你要监听的目录,之后对这个目录下的操作会记录到autitd的日志中 这里先不讲如何去配置auditd,这里讲如何去分析auditd日志 auditd原理简介 首先我们创建文件也好,删除文件也好,都是由进程帮我们去执行的 linux内核提供接口,可以查询进程对文件的操作 autitd记录的就是文件操作时涉及到的数据记录下来 所以只要分析日志就可以判断出是谁对哪个文件进行了什么操作 本文只分享分析方法,这里就讲得粗糙些 怎么去分析 这
audit详细使用配置
张无忌
05-09 3455
Linux audit通过分析系统上正在发生的细节信息,能够有效帮助您提高系统的安全。但是,它本身不提供额外的安全性保障----它不会保护你的系统免受代码故障或者任何类型的漏洞攻击。Audit服务对跟踪这些安全问题非常有用,并且有效帮助我们采取何种针对性的安全措施。
linux auditd审计的简单使用和理解
qq_26614295的博客
08-29 1万+
linux审计功能及规则 (audit.rule)
winnieFighting
11-28 2606
在 /etc/audit/rules.d/audit.rules文件中,我们可以设置相应的规则,也就是我们具体要监控哪些操作,哪些文件,当这些文件有一些读写修改的操作的时,在/var/log/audit/audit.log 中记录下来这些操作,这样我们就可以在audit.log 查看操作记录了。备注:当使用 auditctl -l 查看规则的时候,如果提示 no rules的时候,需要先执行 auditctl -R /etc/audit/rules.d/audit.rules 加载规则文件。
auditd.log文件中的每一行都以type=“keyword”的形式开头,每一行由多个name=value组成,name=value对通过空格或冒号分隔。 现在要求: 1.利用python将auditd.log转换成json格式,其中json文件中的每一行都是一个字典,字典中的每个键值对的形式为name:value。 2. auditd.log文件中的type=SYSCALL开头的记录包含arch=和syscall=,要求按照arch值统计syscall值的种类数。
06-16
好的,针对您的第一个问题,我可以给出如下的Python代码: ```python import json with open('auditd.log', 'r') as f: lines = f.readlines() result = [] for line in lines: if line.startswith('type='): pairs = line.strip().split()[1:] record = {} for pair in pairs: name, value = pair.split('=') record[name] = value result.append(record) with open('auditd.json', 'w') as f: json.dump(result, f) ``` 这段代码会将auditd.log文件中的每一行解析成一个字典,然后将所有的字典组成一个列表,最终将这个列表以JSON格式写入到auditd.json文件中。 针对您的第二个问题,可以使用如下的Python代码: ```python from collections import defaultdict counts = defaultdict(int) with open('auditd.log', 'r') as f: lines = f.readlines() for line in lines: if line.startswith('type=SYSCALL'): pairs = line.strip().split()[1:] record = {} for pair in pairs: name, value = pair.split('=') record[name] = value counts[record['arch'] + ':' + record['syscall']] += 1 for key, value in counts.items(): print(key, value) ``` 这段代码会遍历auditd.log文件中的每一行,统计以type=SYSCALL开头的记录中,每种arch值对应的syscall值的种类数。最终,代码会输出每种arch值和syscall值的组合及其对应的数量。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值