Linux 系统管理和监控命令---- auditctl 命令

于 2023-12-28 14:00:00 发布
阅读量1.6k 收藏 9
点赞数 9
分类专栏: Linux常用命令详解 文章标签: linux 运维 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/redrose2100/article/details/135243868
版权
本文介绍了Linux审计系统的重要工具auditctl,详细阐述了如何添加新规则、列出当前规则、删除规则、设置审计参数以及监控特定文件。通过示例展示了auditctl在系统监控和安全管理中的应用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

auditctl 是 Linux 审计系统(audit system)的一部分,它允许管理员配置审计规则,以跟踪和记录系统活动。这些规则可以帮助你监控对特定文件的访问、追踪特定用户的活动或记录系统调用。以下是 auditctl 的一些常用用法及其示例:

1. 添加新规则

  • 命令: auditctl -a [规则列表], [动作]
  • 用途: 添加一条新的审计规则。
  • 示例: auditctl -a always,exit -F arch=b64 -S open,close -F exit=-EACCES
    • 解释: 对于所有64位架构的系统调用(如 openclose),如果返回 EACCES(拒绝访问错误),则总是记录。

2. 列出当前规则

  • 命令: auditctl -l

  • 用途: 显示当前所有的审计规则。

了解本专栏 订阅专栏 解锁全文 超级会员免费看
Linux系统之auditctl命令详解
weixin_56303229的博客
03-05 660
auditctlLinux 审计系统(Audit System)的一个命令行工具,用于控制系统审计的行为。它允许用户配置内核审计模块,控制哪些事件应该被记录、如何记录以及存储在什么地方等。通过 auditctl,可以定义详细的审计规则来监控文件访问、系统调用、网络活动等多种类型的系统行为,这对于安全审计合规性检查非常有用。
Linux 系统管理监控命令---- auditctl命令
最新发布
weixin_46356409的博客
11-13 1411
auditctl是一个强大的工具,用于配置管理 Linux 审计系统的规则。通过使用auditctl,可以监视文件目录的访问、系统调用以及其他重要的系统事件。结合ausearchaureport,可以有效地查询报告审计日志,帮助管理员进行安全审计合规性检查。
Linux auditctl 命令
weixin_42098295的博客
12-07 476
Linux命令是对Linux系统进行管理的命令。对于Linux系统来说,无论是中央处理器、内存、磁盘驱动器、键盘、鼠标,还是用户等都是文件,Linux系统管理命令是它正常运行的核心,与之前的DOS命令类似。linux命令在系统中有两种类型:内置Shell命令Linux命令。本文主要介绍Linux auditctl 命令。 原文地址:Linux auditctl 命令 ...
auditctl (转)
weixin_33834628的博客
06-28 763
一.audit介绍 audit是linux系统中用于记录用户底层调用情况的系统,如记录用户执行的open,exit等系统调用.并会将记录写到日志文件中.audit可以通过使用auditctl命令来添加或删除audit规则.设置针对某个用户进行记录,或针对某个进程的进行记录. audit主要包含2个命令: auditd audit服务进程auditctl ...
auditctl
mr_raptor的专栏
04-10 4830
安装: apt-get install auditd.1.auditd 是后台守护进程,负责监控记录2.auditctl 配置规则的工具3.auditsearch 搜索查看4.aureport 根据监控记录生成报表比如,监控 /root/.ssh/authorized_keys 文件是否被修改过:aditctl -w /root/.ssh/authorized_keys -p war -k aut
audit审计规则配置方法
热门推荐
bigwood99的博客
09-06 2万+
1.概述 Linux提供了一个审计服务auditd。 默认情况下,开启这个服务只记录较少的资料。 这可能不满足大多数人的需要。但是如果开启全部记录,对于生产环境,可能负载过重,导致影响正常的服务。因此,根据实际需要进行配置是必须的。 Linux系统提供了一些配置的例子可以参考。 /usr/share/doc/audit-2.4.5 audit规则可以使用auditctl命令或配置规则文件来实现。 auditctl命令可以立即生效,但是重启服务会丢失配置的规则。 使用配置文件配置,需...
linux audit
weixin_34301132的博客
03-20 151
linux 的 audit 服務(转载) Linux 的 audit (in Redhat, Suse) 服務是什麼?以前我也不會去注意,直到有一天系統 crash,不知道為什麼,打開 Monitor,只出現一堆這樣的訊息: audit: audit_backlog=326 > audit_backlog_limit=320 audit...
auditctl -a auditctl -w区别
06-07
auditctl -aauditctl -w都是Linux中用于添加审计规则的命令,它们的区别在于作用对象不同。 - auditctl -a用于添加系统调用规则,主要用于监控系统调用的使用情况。例如,可以使用auditctl -a命令监控系统中所有...
Linux运维-Linux系统用户及组管理-权限管理精要
Linux系统用户管理 ## 1.1 用户账号的创建与删除 在Linux系统中,可以通过`useradd`命令来创建新用户账号,例如: ```bash sudo useradd -m newUser ``` 上述命令中,`-m`选项表示在创建用户时同时创建用户的家...
Linux运维-Linux系统用户及组管理-用户账号安全策略
本章将介绍Linux系统用户的添加、删除以及权限角色的管理。 #### 1.1 用户账号的添加与删除 在Linux系统中,我们可以通过`useradd`命令来添加新的用户账号,通过`userdel`命令来删除已有的用户账号。下面是具体...
GNU/Linux audit英文文档
04-13
此文档是由SUSE编写的关于GNU/Linux audit的英文文档。audit的入门级必看资料。
Linux系统之audit
bingshanzhu的专栏
04-29 1972
Linux 提供了用来记录系统安全信息的审计系统,使用 audit 系统可以在应用程序执行期间获取比如发生错误的时间,哪个文件导致错误以及原因,什么进程导致了错误等等信息。 用户空间审计系统 Linux内核拥有包括记录系统调用文件访问等的日志记录事件的能力,管理员可以检查这些日志,确定是否存在安全漏洞,比如多次失败的登录尝试,或者用户对系统文件不成功的访问等。 1、Linux 内核中的几种系统调...
linux系统之audit审计
liuxe1990的博客
04-23 912
什么是审计 审计案例 部署audit [root@sheji57 ~]# yum -y install audit [root@sheji57 ~]# systemctl start auditd [root@sheji57 ~]# systemctl enable auditd 定义临时规则 [root@sheji57 ~]# auditctl -w /etc/passwd -p wa...
linux audit(安全审计功能)
underzerotem的博客
05-07 1372
今天系统中遇到rc.local被人删除掉的问题,从同事那里得知一工具可以监控文件被删除或修改是被谁哪条指令修改的,就是audit,总结了一下,尤其是注意事项,希望后续可以省掉一些问题定位时间。 Linux安全审计功能 audit详解 动机 我们知道在Linux系统中有大量的日志文件可以用于查看应用程序的各种信息,但是对于用户的操作行为(如某用户修改删除了某文件)却无法通过这些日志文件来查看,...
linux审计工具audit,Linux audit安全审计工具
weixin_39707612的博客
05-03 901
/*********************************************************************** Linux audit安全审计工具* 说明:* 今天接触到安全审计,查看一下,发现内核有支持安全审计方面的东西。** 2018-4-23 深圳 宝安西乡 ...
linux的审计功能(audit)
weixin_71792169的博客
09-26 4260
PART ONE 为了满足这样的需求:记录文件变化、记录用户对文件的读写,甚至记录系统调用,文件变化通知。 什么是audit The Linux Audit Subsystem is a system to Collect information regarding events occurring on the system(s) Kernel events (syscall events) User events (audit-enabled programs) syslog会记录系统状态(硬件警告、
linux 审计--audit
changexhao的专栏
10-15 1642
一.audit介绍 audit是linux系统中用于记录用户底层调用情况的系统,如记录用户执行的open,exit等系统调用. 并会将记录写到日志文件中. audit可以通过使用auditctl命令来添加或删除audit规则.设置针对某个用户进行记录,或针对某个 进程的进行记录. audit主要包含2个命令: auditd       audit服务进程 auditctl     au
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

redrose2100

您的鼓励是我最大的创作动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值