Linux auditd.conf详解

最新推荐文章于 2024-07-25 14:24:00 发布
最新推荐文章于 2024-07-25 14:24:00 发布
阅读量1.1w 收藏 10
点赞数 2
分类专栏: linux 文章标签: linux audit
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012085379/article/details/50973245
版权

       研究audit日志规则,本文为进程配置。
# 审计日志文件的完整路径。如果您配置守护进程向除默认/var/log/audit/外的目录中写日志文件时,
# 一定要修改它上面的文件权限,使得只有根用户有读、写和执行权限。所有其他用户都不能访问这个
# 目录或这个目录中的日志文件。
log_file =/var/log/audit/audit.log
# 写日志时要使用的格式。当设置为RAW时,数据会以从内核中检索到的格式写到日志文件中。当设置
# 为NOLOG时,数据不会写到日志文件中,但是如果用dispatcher选项指定了一个,则数据仍然会发送
# 到审计事件调度程序中
log_format = RAW
# 日志所属组
log_group = root
# 审计应采用多少优先级推进守护进程。必须是非负数。0表示没有变化。
priority_boost = 4
# 多长时间向日志文件中写一次数据。值可以是NONE、INCREMENTAL、DATA和SYNC之一。如果设置为
# NONE,则不需要做特殊努力来将数据 刷新到日志文件中。如果设置为INCREMENTAL,则用freq选项
# 的值确定多长时间发生一次向磁盘的刷新。如果设置为DATA,则审计数据和日志文件一直是同步的。
# 如果设置为SYNC,则每次写到日志文件时,数据和元数据是同步的。
flush = INCREMENTAL
# 如果flush设置为INCREMETNAL,审计守护进程在写到日志文件中前从内核中接收的记录数
freq = 20
#max_log_file_

最低0.47元/天 解锁文章
Lai.YM
关注
专栏目录
ansible-auditd:设置和配置linux auditd
05-04
Ansible角色,用于设置和配置linux auditd。 可能的。 要求和依存关系 Ansible 已在以下版本上进行了测试: 2.2 2.5 2.10 操作系统 Ubuntu 16.04、18.04、20.04 Centos 7、8 Suse 12.x,15.x 剧本范例 只需将...
auditd.conf的详细参数说明
狂客队长
07-17 2991
``` # 本地的事件是否记录,设置为no的场景应该是只作为远程日志收集的服务器,但自身的日志大多数时候也是有必要记录的 local_events = yes # 日志是否落盘,设置为no的场景应该是将会把日志存储到远程服务器的客户端(没有足够空间的情况下) write_logs = yes # 日志记录的文件 log_file = /var/log/audit/audit.log # 日志文件默认所属的组 log_group = adm # 日志的格式,一般设置为RAW即可 log_f
audit审计超详细介绍,常见审计规则示例,与syslog、secure对比
ayychiguoguo的博客
07-25 1483
Audit(审计)在Linux系统中,特别是CentOS中,是一个用于监控和记录系统上各种操作的技术手段。Audit的主要功能是为系统管理员提供一个跟踪系统上与安全相关信息的方法。根据预配置的规则,Audit会生成日志条目,以尽可能多地记录系统上所发生的事件的相关信息。① Audit主要由以下几个部分组成:auditd:Audit守护进程负责把内核产生的信息写入到硬盘上,这些信息由应用程序和系统活动触发产生。
审计规则配置
weixin_44683938的博客
01-24 2365
groupadd shenjiguanli useradd -g shenjiguanli audit audit 配置文件简介 audit 安装后会生成 2 个配置文件: /etc/audit/auditd.conf 和/etc/audit/audit.rules 。/etc/audit/auditd.conf 是守护程序的默认配置文件。/etc/audit/audit.rules 是记录审计规则的文件。首次安装 audit 后, 审计规则文件是空的。 注意: #查看审计规则 #auditctl -l
Linux审计工具auditd使用与日志收集
不以物喜的博客
02-04 1万+
0 概述 Auditd工具可以帮助运维人员审计Linux,分析发生在系统中的发生的事情。Linux 内核有用日志记录事件的能力,包括记录系统调用和文件访问。管理员可以检查这些日志,确定是否存在安全漏洞(如多次失败的登录尝试,或者用户对系统文件不成功的访问)。 1 安装 Centos7默认已安装Audit 使用命令service auditd status可查看该服务是否开启 2 配置文件 在/etc/audit路径下 auditd.conf文件 ----审计工具的配置文件 audit.rules文
Linux安全之auditd审计工具使用说明
Innocence_0的博客
02-27 4592
audited是Linux审核系统的用户空间组件。它负责将审核记录写入磁盘。查看日志是通过ausearch或aureport实用程序完成的。审核系统或加载规则的配置是使用auditctl实用程序完成的。在启动过程中,/etc/audit/audit.rules中的规则由auditctl读取并加载到内核中。另外,还有一个augenrules程序,它读取/etc/audit/rules.d/中的规则,并将它们编译为audit.rules文件。
Linux-Audit审计解析
qq_38135115的博客
02-20 4706
前言 Linux auditd 工具可以将审计记录写入日志文件。包括记录系统调用和文件访问。管理员可以检查这些日志,确定是否存在安全漏洞。本文首先介绍用户空间审计系统的结构,然后介绍主要的 audit 工具的使用方法。 Linux 用户空间审计系统简介 Linux 内核有用日志记录事件的能力,包括记录系统调用和文件访问。管理员可以检查这些日志,确定是否存在安全漏洞(如多次失败的登录尝试,或者用户对系统文件不成功的访...
实时监控文件系统:Linux系统监控技术详解
最新发布
09-05
Linux系统中,文件系统的监控是一项重要的系统管理任务。它可以帮助系统管理员及时发现文件系统中的变化,如文件的创建、删除、修改等,从而进行相应的处理,如备份、审计或安全检查。本文将详细介绍Linux系统中...
Linux audit 日志审计服务安装及使用
01-12
* `/etc/audit/auditd.conf`:auditd 工具的配置文件。 添加审计规则 可以使用 `auditctl` 工具添加审计规则。例如,要监控 `/etc/passwd` 文件,可以使用以下命令: `auditctl -w /etc/passwd -p rwxa` 这里的 ...
linux基线检查脚本.rar
04-08
4. **日志管理**:检查日志文件的配置,包括syslog、auditd等,确保日志记录全面且安全,便于审计和故障排查。 5. **文件系统权限**:检查系统文件和目录的权限设置,防止敏感信息泄露或者恶意修改。 6. **服务与...
linux系统webshell查杀.7z
12-09
2. 审计系统命令:利用工具如auditd监控系统命令的执行,找出异常行为。 3. 防火墙规则:设置防火墙规则阻止已知的Webshell通信端口和IP地址。 4. 定期更新和打补丁:保持操作系统和应用程序的最新状态,减少漏洞被...
audit安装配置及使用
weixin_45630387的博客
04-14 2197
官网链接:https://access.redhat.com/documentation/zh-cn/red_hat_enterprise_linux/7/html/security_guide/chap-system_auditing。
linux默认审计事件类型,linux运维审计
weixin_35799569的博客
05-14 614
选项 选项说明log_file =审计日志文件的完整路径。如果您配置守护进程向除默认/var/log/audit/外的目录中写日志文件时,一定要修改它上面的文件权限,使得只有根用户有读、写和执行权限。所有其他用户都不能访问这个目录或这个目录中的日志文件log_format =写日志时要使用的格式。当设置为RAW时,数据会以从内核中检索到的格式写到日志文件中。当设置为NOLOG时,数据不会写到日志文...
Linuxaudit日志的使用方法
热门推荐
Han的小站
02-27 5万+
auditd服务的安装: 以CentOS6.5为例,使用下面的方法确认auditd服务的安装情况: yumlist audit audit-libs 确认以下两个package是否安装: audit.x86_64
Linux内核:进程管理——安全审计
m0_74282605的博客
04-17 1448
audit.rules 是 audit 的规则文件,确定 audit 的日志中记录哪些操作。syslog记录的信息有限,主要目的是软件调试,跟踪和打印软件的运行状态,而audit的目的则不同,它是linux安全体系的重要组成部分,是一种“被动”的防御体系。在内核里有内核审计模块,记录系统中的各种动作和事件,比如系统调用,文件修改,执行的程序,系统登入登出和记录所有系统中所有的事件,它的主要目的是方便管理员根据日记审计系统是否允许有异常,是否有入侵等等,说穿了就是把和系统安全有关的事件记录下来。
RHEL审计配置/etc/audit/auditd.conf
cuiyong8723的博客
01-24 1096
# # This file controls the configuration of the audit daemon # log_file = /var/log/audit/audit.log log_fo...
Centos7等保三级检查命令
人走茶良的博客
04-16 1600
一、操作系统   1、查看文件权限 查看该文件的权限 ls -la /var/log/audit/audit.log 查看如下文件的权限是否满足 ls -l /etc/passwd ls -l /etc/hosts ls -l /etc/login.defs ls -l /etc/hosts.allow ls -l /etc/shadow ls -l /etc/hosts.deny ls -l /etc/group
Linux审计与日志安全加固
cainiao17441898的博客
11-08 4156
审计和日志服务配置 审计数据配置 日志文件最大参数 在储存策略(/etc/audit/audit.conf)中配置max_log_file=<MB> 当审计日志满的时候停止系统 space_left_action=email action_mail_acct=root admin_space_left_action=halt 当审计日志文件达到最大时,替换日志但不删除。 max_log_file_action=keep_logs 启动audit守护进程记录系统时间,查看是否有未经授权的访问信息
auditd.conf
08-23
auditd.conf是一个配置文件,用于配置auditd工具的行为和设置。其中包含了一些关键的参数和选项,用于控制审计记录的生成和存储方式。根据引用的内容: - krb5_principal参数指定了客户的主要负责人的位置,这个位置文件通常是/etc/audit/audit.key,并且该文件必须由根用户和模式0400所拥有。 - disk_error_action参数指定了当磁盘错误发生时的处理动作,其值可以是SUSPEND,表示挂起操作。 - enable_krb5参数用于启用或禁用Kerberos身份验证,no表示禁用Kerberos身份验证。 因此,auditd.conf文件中可以配置的内容包括但不限于上述参数,以及其他参数用于定义审计规则、日志存储位置、审计事件过滤等等。这些配置可以根据具体需求进行修改,以实现对系统的审计功能的定制化设置。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [Linux auditd.conf详解](https://blog.csdn.net/ddd123789999/article/details/102855833)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值