Linux 系统管理和监控命令---- auditctl 命令

于 2023-12-28 14:00:00 发布
阅读量756 收藏 9
点赞数 9
分类专栏: Linux常用命令详解 文章标签: linux 运维 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/redrose2100/article/details/135243868
版权

auditctl 是 Linux 审计系统(audit system)的一部分,它允许管理员配置审计规则,以跟踪和记录系统活动。这些规则可以帮助你监控对特定文件的访问、追踪特定用户的活动或记录系统调用。以下是 auditctl 的一些常用用法及其示例:

1. 添加新规则

  • 命令: auditctl -a [规则列表], [动作]
  • 用途: 添加一条新的审计规则。
  • 示例: auditctl -a always,exit -F arch=b64 -S open,close -F exit=-EACCES
    • 解释: 对于所有64位架构的系统调用(如 openclose),如果返回 EACCES(拒绝访问错误),则总是记录。

2. 列出当前规则

  • 命令: auditctl -l

  • 用途: 显示当前所有的审计规则。

  • 示例: 执行 auditctl -l 可能显示:

    -a always,
了解本专栏 订阅专栏 解锁全文 超级会员免费看
redrose2100
关注
  • 9
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
Linux-系统命令大全与详解.doc
11-30
Linux-系统命令大全与详解.doc
linux的审计功能
lishenglong666的专栏
12-16 3676
linux的审计功能(audit) 2010-09-30 16:40:34|  分类: 工作|字号 订阅 2.6 Linux内核有用日志记录事件的能力,比如记录系统调用和文件访问。然后,管理员可以评审这些日志,确定可能存在的安全裂口,比如失败的登录尝试,或者用户对系统文件不成功的访问。这种功能称为Linux审计系统,在Red Hat Enterprise
Linux 命令-系统设置
07-08
Linux 命令——系统设置
Linux 命令-文件管理
07-08
Linux 命令—文件管理
Linux 命令-系统管理
07-08
Linux 命令——系统管理
audit详细使用配置
张无忌
05-09 3223
Linux audit通过分析系统上正在发生的细节信息,能够有效帮助您提高系统的安全。但是,它本身不提供额外的安全性保障----它不会保护你的系统免受代码故障或者任何类型的漏洞攻击。Audit服务对跟踪这些安全问题非常有用,并且有效帮助我们采取何种针对性的安全措施。
audit审计规则配置方法
热门推荐
bigwood99的博客
09-06 1万+
1.概述 Linux提供了一个审计服务auditd。 默认情况下,开启这个服务只记录较少的资料。 这可能不满足大多数人的需要。但是如果开启全部记录,对于生产环境,可能负载过重,导致影响正常的服务。因此,根据实际需要进行配置是必须的。 Linux系统提供了一些配置的例子可以参考。 /usr/share/doc/audit-2.4.5 audit规则可以使用auditctl命令或配置规则文件来实现。 auditctl命令可以立即生效,但是重启服务会丢失配置的规则。 使用配置文件配置,需...
【安全】linux audit审计使用入门
追寻梦想的青春
10-11 3647
rules:审计规则,其中配置了审计系统需要审计的操作auditctl:用户态程序,用于审计规则配置和配置变更kaudit:内核空间程序,根据配置好的审计规则记录发生的事件auditd:用户态程序,通过netlink获取审计日志用户通过auditctl配置审计规则内核的kauditd程序获取到审计规则后,记录对应的审计日志用户态的auditd获取审计日志并写入日志文件。audit的主要应用场景是安全审计,通过对日志进行分析发现异常行为。
linux 安全审计audit 系统审计 记录root操作
sonflower123的博客
06-08 2949
Linux auditctl 使用
Linux内核:进程管理——安全审计
m0_74282605的博客
04-17 1304
audit.rules 是 audit 的规则文件,确定 audit 的日志中记录哪些操作。syslog记录的信息有限,主要目的是软件调试,跟踪和打印软件的运行状态,而audit的目的则不同,它是linux安全体系的重要组成部分,是一种“被动”的防御体系。在内核里有内核审计模块,记录系统中的各种动作和事件,比如系统调用,文件修改,执行的程序,系统登入登出和记录所有系统中所有的事件,它的主要目的是方便管理员根据日记审计系统是否允许有异常,是否有入侵等等,说穿了就是把和系统安全有关的事件记录下来。
Linux 命令-设备管理
07-08
Linux 命令—设备管理
linux audit 命令审计,Linux audit 审计工具
weixin_33447647的博客
05-01 363
centos 系统 audit 默认是安装的查看状态:[root@ecs-proxy ~]# service auditd status[root@ecs-proxy ~]# auditctl -s查看规则:[root@ecs-proxy ~]# auditctl -l删除规则:[root@ecs-proxy ~]# auditctl -D查看帮助:[root@ecs-proxy ~]# audi...
Linux:安全审计功能的实现——audit详解
hhd1988的专栏
07-15 4571
安全审计功能的实现——audit详解
Linux安全之auditd审计工具使用说明
最新发布
月生的静心苑
11-28 3943
audit 我们可以使用auditctl临时配置规则,服务重启失效,如果需要配置永久生效,我们需要将规则写入到配置文件中。auditd审计规则分成三个部分,控制规则:这些规则用于更改审计系统本身的配置和设置。文件系统规则:这些是文件或目录监视。使用这些规则,我们可以审核对特定文件或目录的任何类型的访问。系统调用规则:这些规则用于监视由任何进程或特定用户进行的系统调用。使用 ausearch ,您可以过滤和搜索事件类型。它还可以通过将数值转换为更加直观的值(如系统调用或用户名)来解释事件。
审计规则配置
weixin_44683938的博客
01-24 2145
groupadd shenjiguanli useradd -g shenjiguanli audit audit 配置文件简介 audit 安装后会生成 2 个配置文件: /etc/audit/auditd.conf 和/etc/audit/audit.rules 。/etc/audit/auditd.conf 是守护程序的默认配置文件。/etc/audit/audit.rules 是记录审计规则的文件。首次安装 audit 后, 审计规则文件是空的。 注意: #查看审计规则 #auditctl -l
linux等保三级检查命令
UMSA
12-02 4383
一、身份鉴别 a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复 杂度要求并定期更换; 1、应核查用户在登陆时是否采用了身份鉴别措施; 用户登录服务器需要使用账户+账户口令。 2、应核查用户列表确认用户身份标识是否具有唯一性; (more /etc/passwd) //查看命令结果,第三字段不存在相同数字、用户名不存在相同名称。 3、应核查用户配置信息或测试验证是否不存在空口令用户; (more /etc/shadow) //查看命令结果,红框内的乱码表示加密以
Linux auditd主机系统安全审计服务配置技术方案
watermelonbig的专栏
04-13 7580
Auditd是什么 Auditd是Linux审计系统的用户空间组件。Auditd是Linux审计守护进程的缩写。在Linux中,daemon被称为后台运行服务,当它在后台运行时,应用程序服务的末尾附加了一个“d”。auditd的工作是作为后台服务收集审计日志文件并将其写入磁盘。 审计系统由两个主要部分组成:用户空间应用程序和实用程序,以及内核端系统调用处理。内核组件接收来自用户空间应用程序的系统调用,并通过以下过滤器之一对其进行过滤:user、task、fstype或exit。 一旦系统调用通过了excl
linux内核audit,用Audit执行Linux系统和安全审计
weixin_35982453的博客
04-29 512
Linux Audit守护进程是一个可以审计Linux系统事件的框架。在本文中,我们一起看看安装、配置和使用这个框架来执行Linux系统和安全审计。审计目标通过使用一个强大的审计框架,系统可以追踪很多事件类型来监控和并审计它。这样的例子包括:审计文件访问和修改看看谁改变了一个特殊文件检测未授权的改变监控系统调用和函数检测异常,比如崩溃的进程为入侵检测目的设置“导火线”记录各个用户使用的命令组件这个...
Linux: audit;如何知道有哪一个程序访问了某个文件? auditctl
mzhan017的博客
10-23 329
就是使用systemtap提高的功能,监听具体的文件操作函数。第二个方法,需要准备相应的脚本,编译环境,有些麻烦。第一个放到,使用audit,这个比较方便使用;如何知道有哪一个程序访问了某个文件?
java 监控 linux_Linux系统监控--监控磁盘
06-02
监控 Linux 系统中的磁盘,可以使用一些命令和工具: 1. df 命令:该命令可以查看文件系统的磁盘使用情况,包括已用空间、可用空间、挂载点等信息。可以使用 df -h 命令以人类可读的方式显示磁盘空间使用情况。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

redrose2100

您的鼓励是我最大的创作动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值