centos安装审计日志

最新推荐文章于 2024-05-17 10:22:08 发布
最新推荐文章于 2024-05-17 10:22:08 发布
阅读量1.4k 收藏 2
点赞数
文章标签: linux java 运维 python 大数据
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42430287/article/details/124441599
版权

centos安装audit审计日志

安装:

直接使用yum进行安装auditd系列程序:

yum -y install audit auditd-libs

相关命令:

1、auditctl : 即时控制审计守护进程的行为的工具,比如如添加规则等等。
auditctl -l #查看规则
auditctl -D #清空规则
2、aureport : 查看和生成审计报告的工具。
aureport -l #生成登录审计报告
3、ausearch : 查找审计事件的工具
ausearch -i -p 4096
4、autrace : 一个用于跟踪进程的命令。
autrace -r /usr/sbin/anacron

相关文件:

/etc/audit/audit.rules : 记录审计规则的文件。
/etc/audit/rules.d/ : 规则子目录,可以直接在这里面添加.rules文件生效配置
/etc/audit/auditd.conf : auditd工具的配置文件。
/var/log/audit/audit.log : 默认日志路径

配置文件介绍

1.vi /etc/audit/auditd.conf

local_events = yes			# 是否记录本地事件,如果设为no,只记录来自网络的事件
log_file = /var/log/audit/audit.log    	# 日志文件

flush = INCREMENTAL_ASYNC		# 日志文件刷新方式,可选的选项有:
                                        # NONE:不做特别处理
                                        # INCREMENTAL:用freq选项的值确定多长时间发生一次向磁盘的刷新
                                        # DATA:审计数据和日志文件是同步的
                                        # SYNC:写日志文件时,数据和元数据是同步的

max_log_file = 8			# 日志文件最大8MB
num_logs = 5				# 日志文件数量
priority_boost = 4			# 进程优先级(-4),ps axl | grep auditd 可查

max_log_file_action = ROTATE		# 当log文件达到max_log_file设定大小后的动作。可选的动作有:
                                        # IGNORE:忽略max_log_file设置的限制,继续写log文件
                                        # SYSLOG:向syslog中写入一条warning
                                        # SUSPEND:auditd不再写log文件,但是auditd继续运行
                                        # ROTATE:分多个log文件,一个log文件达到上限后在创建一个新的不同名字的log文件

space_left = 75				# log_file文件所在的分区空闲空间少于这个设定的值时,触发相应的动作,单位是MB
space_left_action = SYSLOG		# space_left设定被触发时的动作。可选动作有:
                                        # IGNORE, SYSLOG, SUSPEND:与前面max_log_file_action相似
                                        # SINGLE:audit进程会将系统模式变为单用户模式
                                        # HALT:audit进程将会触发系统关机
                                        
disk_full_action = SUSPEND		# 磁盘满后触发的动作
disk_error_action = SUSPEND		# 磁盘错误触发的动作

配置审计规则

1.介绍:uditctl命令可以控制审计系统的基本功能、设定规则等,但为了定义重启后一直有效的审计规则,需要把规则定义到/etc/audit/rules.d/目录下,重启auditd时,/etc/audit/rules.d/目录下所有文件的规则会合并到/etc/audit/audit.rules。

2.在/usr/share/doc/audit-{version}/rules/目录下
cp /usr/share/doc/audit-2.8.4/rules/10-base-config.rules /usr/share/doc/audit-2.8.4/rules/30-nispom.rules /usr/share/doc/audit-2.8.4/rules/99-finalize.rules /etc/audit/rules.d/

3.重启auditd
service auditd restart

测试

1.搜索登录失败的日志信息:			  ausearch --message USER_LOGIN --success no --interpret
2.生成登录的审计报告:				  aureport -l

Bolgzhang
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
centos 日志审计_centos6 配置sudo命令日志审计
weixin_33479446的博客
01-17 797
配置sudo命令日志审计说明:所谓sudo命令日志审计,并不记录普通用户的普通操作,而是记录那些执行sudo命令的用户的操作。项目实战:服务器日志审计项目提出与实施权限方案实施后,权限得到了细化控制,接下来进一步实施以地所有用户日志记录方案。通过sudo和syslog(rsyslog)配合实现对所有用户进行日志审计并将记录集中管理(发送到中心日志服务器)、实施后,让所有运维和开发的所有执行的sud...
centos 日志审计_Linux\CentOSauditd安全审计工具的使用
weixin_32943417的博客
01-17 1122
介绍Auditd工具可以帮助运维人员审计Linux。这个工具在大多数Linux操作系统中是默认安装的,是Linux审计系统中用户空间的一个组件,其负责将审计记录写入磁盘。安装$apt-getinstallauditdor$yum-yinstallauditauditd-libs相关命令auditctl : 即时控制审计守护进程的行为的工具,比如如添加规则等等$sudoaudit...
centos 启用系统日志审计
qq_45158424的博客
04-07 1099
以上对用户的操作详细记录包括时间,用户,操作命令,等。
auditd审计程序使用详解
daibaohui的博客
08-29 1300
auditd(Linux审核守护程序)简介 auditd是Linux审计系统的用户空间组件。它负责把审计记录写到磁盘上。查看日志是通过ausearch或aureport工具完成的。配置审计系统或加载规则是通过auditctl工具完成的。在启动过程中,/etc/audit/audit.rules中的规则由auditctl读取并加载到内核。另外,还有一个augenrules程序,它读取位于/etc/audit/rules.d/中的规则,并将其编译成audit.rules文件。审计守护程序本身有一些配置选项,管
Centos7环境下MySQL5.7.38 安装开源审计插件 mysql-audit
最新发布
chmod_R_755的专栏
05-17 593
MySQL版本众多, 同样审计的软件众多,为什么使用 mysql-audit ,原因:老外的弄得,一直在维护,支持的MySQL版本多。修改root用户登录密码,密码就是上面的随机字符串 ,我的是 …我的服务器版本是centos7的64位操作系统, 根据自己情况选择自己的版本 ,下载选择 tar源码包。显示所有可用的插件 , 比如我的系统是64为的,我要用5.7.38的MySQL,我就下载对应的插件。但是我们是源码包安装的 mysqld 位置 : /usr/local/mysql/bin/
Cenos7 登录安全设置和审计设置
zongzhibin117的博客
02-24 1431
Cenos7 登录安全设置和审计设置
Linux内核:进程管理——安全审计
m0_74282605的博客
04-17 1414
audit.rules 是 audit 的规则文件,确定 audit 的日志中记录哪些操作。syslog记录的信息有限,主要目的是软件调试,跟踪和打印软件的运行状态,而audit的目的则不同,它是linux安全体系的重要组成部分,是一种“被动”的防御体系。在内核里有内核审计模块,记录系统中的各种动作和事件,比如系统调用,文件修改,执行的程序,系统登入登出和记录所有系统中所有的事件,它的主要目的是方便管理员根据日记审计系统是否允许有异常,是否有入侵等等,说穿了就是把和系统安全有关的事件记录下来。
rsyslog所有用户日志审计
12-22
rsyslog所有用户日志审计 rsyslog所有用户日志审计是指通过rsyslog来收集和记录所有用户的日志信息,包括普通用户和root用户。这种日志审计可以帮助管理员追踪用户的操作记录,检测潜在的安全威胁和问题。 rsyslog...
CentOS系统通过日志反查是否被入侵
09-30
本文将详细介绍如何在CentOS系统中通过日志文件反查是否被入侵,以及如何通过脚本来记录所有登录用户的操作历史。 首先,我们要关注的主要日志文件是 `/var/log/wtmp` 和 `/var/log/secure`。`/var/log/wtmp` 文件...
centos7 rpm安装ntp
03-28
NTP(Network Time Protocol)是互联网上用于同步计算机时间的一个标准协议,确保多台设备的时间一致,这对于日志记录、分布式系统和安全审计至关重要。本文将详细介绍如何在CentOS 7上使用RPM(Red Hat Package ...
服务日志审计项目详细笔记文档总结
07-02
CentOS系统中,我们可以使用`sudo`命令和`syslog`服务来实现日志审计。首先,需要确保这两个组件已经安装。通过`yum -y install sudo rsyslog`命令可以安装sudo和rsyslog服务。确认它们已成功安装,可以使用`rpm -...
CentOS 7下mysql 5.7 安装教程
12-16
在本教程中,我们将深入探讨如何在CentOS 7操作系统上安装MySQL 5.7,以及后续的一些关键配置,如修改root密码、设置字符集为UTF-8和允许远程访问。 首先,安装MySQL 5.7需要从MySQL的官方Yum Repository下载。这...
centos审计服务audit导致使centos服务器不能登录,部署的应用不能运行和访问。
一滴水中的大海
11-18 1349
场景描述: 某天服务器上部署的tomcat服务夜间突然不能正常访问,此时用户访问量不大。查看线程还在运行,查看应用日志无任何异常,但是应用的控制台停止输出。只要重启后应用立刻能够正常访问。此后几天应用无任何异常把表现,但是经过一个周末后,周一早上发现应用不能又不能访问,并且服务器不能登录,重启服务器后,再重启应用,程序运行正常。此后应用每隔2到3天就会出现不能访问,并偶尔伴随操作系统不能登录,并且重启后正常。 原因: 运维人员查询原因后,确定是audit服务引起的,问题的原因是audit服务在繁忙的系统中进
centos 日志审计_CentOS7下安全审计工具Auditd的简单使用
weixin_30143813的博客
01-17 3422
auditdauditd是Linux审计系统的用户空间组件,它负责将审计记录写入磁盘。查看日志使用ausearch或aureport实用程序完成。使用auditctl实用程序配置审核系统或加载规则。在auditd启动期间,/etc/audit/audit.rules 中的审计规则由auditctl读取并加载到内核中。或者还有一个 augenrules程序,读取/etc/audit/rules.d...
centos 日志审计
UKerLee的博客
08-23 1442
audit日志审计
日志审计与分析实验(CentOS日志分析)
weixin_51250102的博客
03-26 8384
CentOS日志审计与分析
auditd.conf的详细参数说明
狂客队长
07-17 2832
``` # 本地的事件是否记录,设置为no的场景应该是只作为远程日志收集的服务器,但自身的日志大多数时候也是有必要记录的 local_events = yes # 日志是否落盘,设置为no的场景应该是将会把日志存储到远程服务器的客户端(没有足够空间的情况下) write_logs = yes # 日志记录的文件 log_file = /var/log/audit/audit.log # 日志文件默认所属的组 log_group = adm # 日志的格式,一般设置为RAW即可 log_f
audit安装配置及使用
weixin_45630387的博客
04-14 1205
官网链接:https://access.redhat.com/documentation/zh-cn/red_hat_enterprise_linux/7/html/security_guide/chap-system_auditing。
CentOS 7不收集日志 /var/log/messages
热门推荐
tianxieeryang的博客
01-10 1万+
CentOS 7不收集日志 /var/log/message背景Solution 前一直有日志生成,正常运行,日志突然不收集 ,最后一次轮替日志之后,/var/log/message, /var/log/secure等都不记录了,并且都是空文件。 背景 重启机器:reboot 无效 重启日志: systemctl start rsyslog 无效 怀疑空间不足,删除/...
centos服务器审计
04-06
2. 日志审计:分析服务器的日志文件,包括系统日志、应用程序日志和安全日志,以便发现异常活动、登录尝试和潜在的攻击行为。 3. 漏洞扫描:使用漏洞扫描工具对服务器进行扫描,以发现已知的安全漏洞和弱点,并及时...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值