ssh日志审计_Linux的audit.log日志审计

最新推荐文章于 2024-04-14 20:42:28 发布
最新推荐文章于 2024-04-14 20:42:28 发布
阅读量1.5k 收藏
点赞数
文章标签: ssh日志审计
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_29219539/article/details/113029478
版权

type=USER_LOGIN msg=audit(1483695199.639:6342): pid=xxxxxxx uid=0 auid=xxxxxxx ses=xxxxxxx msg='op=login acct=xxxxxxx exe="/usr/sbin/sshd" hostname=? addr=xxxxxxx terminal=ssh res=failed'

type=USER_AUTH msg=audit(1483695199.643:6343): pid=xxxxxxx uid=0 auid=xxxxxxx ses=xxxxxxx msg='op=PAM:authentication grantors=? acct="?" exe="/usr/sbin/sshd" hostname=xxxxxxx addr=xxxxxxx terminal=ssh res=failed'

type=USER_AUTH msg=audit(1483695201.437:6344): pid=xxxxxxx uid=0 auid=xxxxxxx ses=xxxxxxx msg='op=password acct=xxxxxxx exe="/usr/sbin/sshd" hostname=? addr=xxxxxxx terminal=ssh res=failed'

type=USER_AUTH msg=audit(1483695201.749:6345): pid=xxxxxxx uid=0 auid=xxxxxxx ses=xxxxxxx msg='op=PAM:authentication grantors=? acct="?" exe="/usr/sbin/sshd" hostname=xxxxxxx addr=xxxxxxx terminal=ssh res=failed'

type=USER_AUTH msg=audit(1483695204.151:6346): pid=xxxxxxx uid=0 auid=xxxxxxx ses=xxxxxxx msg='op=password acct=xxxxxxx exe="/usr/sbin/sshd" hostname=? addr=xxxxxxx terminal=ssh res=failed'

type=USER_AUTH msg=audit(1483695204.464:6347): pid=xxxxxxx uid=0 auid=xxxxxxx ses=xxxxxxx msg='op=PAM:authentication grantors=? acct="?" exe="/usr/sbin/sshd" hostname=xxxxxxx addr=xxxxxxx terminal=ssh res=failed'

type=USER_AUTH msg=audit(1483695205.943:6348): pid=xxxxxxx uid=0 auid=xxxxxxx ses=xxxxxxx msg='op=password acct=xxxxxxx exe="/usr/sbin/sshd" hostname=? addr=xxxxxxx terminal=ssh res=failed'

type=CRYPTO_KEY_USER msg=audit(1483695206.255:6349): pid=28805 uid=0 auid=xxxxxxx ses=xxxxxxx msg='op=destroy kind=session fp=? direction=both spid=xxxxxxx suid=xxxxxxx rport=xxx laddr=xxxxxxx lport=22  exe="/usr/sbin/sshd" hostname=? addr=xxxxxxx terminal=? res=success'

type=CRYPTO_KEY_USER msg=audit(1483695206.256:6350): pid=28805 uid=0 auid=xxxxxxx ses=xxxxxxx msg='op=destroy kind=server fp=xxxxxxx direction=? spid=xxxxxxx suid=0  exe="/usr/sbin/sshd" hostname=? addr=xxxxxxx terminal=? res=success'

type=CRYPTO_KEY_USER msg=audit(1483695206.256:6351): pid=28805 uid=0 auid=xxxxxxx ses=xxxxxxx msg='op=destroy kind=server fp=xxxxxxx direction=? spid=xxxxxxx suid=0  exe="/usr/sbin/sshd" hostname=? addr=xxxxxxx terminal=? res=success'

Angie洛林
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux审计日志发送,Linux审计日志
weixin_39846089的博客
05-01 1604
最近在Linux日志中发现有如下信息:vi /var/log/messagestype=CRYPTO_KEY_USER msg=audit(1448528863.866:163): user pid=7735 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=destr...
android审计日志,hdfs auditlog(审计日志)
weixin_31889705的博客
06-03 953
hdfs审计日志(Auditlog)记录了用户针对hdfs的所有操作,详细信息包括操作成功与否、用户名称、客户机地址、操作命令、操作的目录等。对于用户的每一个操作,namenode都会将这些信息以key-value对的形式组织成固定格式的一条日志,然后记录到audit.log文件中。通过审计日志,我们可以实时查看hdfs的各种操作状况、可以追踪各种误操作、可以做一些指标监控等等。hdfs的审计日志...
Linuxaudit日志的使用方法
热门推荐
Han的小站
02-27 5万+
auditd服务的安装: 以CentOS6.5为例,使用下面的方法确认auditd服务的安装情况: yumlist audit audit-libs 确认以下两个package是否安装: audit.x86_64
【AEM Daily】Audit Log
AEM
02-15 1270
在我们日常使用AEM Sites 和 AEM DAM的时候,经常会遇到类似以下这样的问题: Publish实例上的一个Active的页面,不知道什么时候被哪个用户Deactive了 Author上的一个还在编辑中,还没发布的页面,不知道什么时候被那个用户Delete了 Author上的某个资产或资产文件夹不知道什么时候被哪个用户给删除了 这个时候,相关的业务人员就会着急的找到IT人员求助,大...
AuditLog配置详解
zmj199536的博客
12-03 9293
介绍 auditLog采用Audit4j进行了简单的封装。 配置 在applicaton-.yml中添加auditLog的配置,配置参数如下: # auditLog配置 audit4j: db-handler: # auditLog记录时否分表. 对于业务不是很复杂的应用,一般设置成false即可 separate: false # 是否用内置的数据库记录.一般都是用自...
MySQL 8.0.35 企业版开启审计audit log功能
一个标题
03-26 2046
MySQL 8.0.35 企业版开启审计audit log功能
Linux内核审计日志audit_log,linux audit审计(4)--audit日志切分,以及与rsyslog的切分协同使用...
weixin_39616961的博客
05-08 1215
audit的规则配置稍微不当,就会短时间内产生大量日志,所以这个规则配置一定要当心。当audit日志写满后,可以看到如下场景:-r-------- 1 root root 8388609 Mar 31 11:47 audit.log.997-r-------- 1 root root 8388780 Mar 31 11:47 audit.log.998-r-------- 1 root root ...
ssh日志审计_系统日志说明及audit审计系统
weixin_29145157的博客
01-17 1170
一、日志文件的分类1.内核及系统日志由系统服务rsyslog统一进行管理,日志格式基本相似软件包:rsyslog-5.8.10-8主要程序:/sbin/rsyslogd配置文件:/etc/rsyslog.conf配置文件:/etc/rsyslog.conf语法日志设备类型 说明auth pam产生的日志authpriv ssh,ftp等登陆信息的验证信息cron 时间任务相关k...
【操作系统】安全审计-audit_linux audit,关于网络优化你必须要知道的重点
m0_61330806的博客
04-09 1010
5.num_logs:max_log_file_action:如果没有设置num_logs值,它就默认为0,意味着从来不循环日志文件。如果达到这个水平,则会采取admin_space_left_ action所指定的动作。10.admin_space_left_action:当自由磁盘空间量达到admin_space_left指定的值时,则采取动作。7.3如果设置为 EMAIL,则从action_mail_acct向这个地址发送一封电子邮件,并向/var/log/messages中写一条警告消息。
centos 日志审计_CentOS7日志审计
weixin_32999397的博客
01-17 2023
一、用户空间审计系统简介Linux 内核有用日志记录事件的能力,包括记录系统调用和文件访问。管理员可以检查这些日志,确定是否存在安全漏洞(如多次失败的登录尝试,或者用户对系统文件不成功的访问)。Linux 用户空间审计系统由 auditd、audispd、auditctl、autrace、ausearch 和 aureport 等应用程序组成。下面依次说明:auditctl:即时控制审计守护进程的...
Linux下安全审计audit 系统审计 记录root操作
河静
09-24 4004
Linux下安全审计audit 系统审计 1.审计介绍 Linux 审计系统提供了一种跟踪系统上与安全相关的信息的方法。根据预先配置的规则,Audit 会生成日志条目,以尽可能多地记录有关系统上发生的事件的信息。此信息对于关键任务环境确定安全策略的违反者及其执行的操作至关重要。审计不会为您的系统提供额外的安全性;相反,它可用于发现违反您系统上使用的安全策略的情况。可以通过其他安全措施(例如 SELinux)进一步防止这些违规行为。 audit能够在日志中记录的信息有: 时间的日期时间、类型和结果 主体和
## linux 系统 auditlog 是什么?
深耕嵌入式领用多年, 致力于分享嵌入式领域技术!
05-12 1413
## linux 系统 auditlog 是什么?
ssh 用户登录 审计
Serene MA的博客
05-16 952
建立一个 Command_history.sh touch /var/log/Command_history.sh 内容如下 #!/bin/sh touch /var/log/Command_history.log chown nobody.nobody /var/log/Command_history.log chmod 002 /var/log/Command_history.log c...
Linux系统审计详解
m0_74282605的博客
01-17 1170
ausearch -sv #按syscall的返回值查找(yes/no)ausearch -tm #按连接终端查找(term/ssh/tty)ausearch -w #按在audit rule设定的字符串查找。ausearch -ua #按uid和euid查找。ausearch -ga #按gid和egid查找。ausearch -k #按特定的key值查找。ausearch -ue #按euid查找。ausearch -ge #按egid查找。ausearch -ui #按uid查找。
audit安装配置及使用
最新发布
weixin_45630387的博客
04-14 2161
官网链接:https://access.redhat.com/documentation/zh-cn/red_hat_enterprise_linux/7/html/security_guide/chap-system_auditing。
linux 安全审计audit 系统审计 记录root操作
sonflower123的博客
06-08 3059
Linux auditctl 使用
重建home分区后出现的ssh公钥认证失败问题
weixin_33750452的博客
01-21 443
由于是hadoop集群,所以配置ssh免密登陆是基本条件之一,后来在使用了一段集群后,发现当初安装系统时分区划分有问题,/root分区只给了50G,导致执行数据量比较大的任务的时候经常因为hadoop临时目录空间不足导致任务执行失败,于是觉得使用lvm调整一下分区大小,缩小home分区的大小,扩大root分区的空间。但由于在缩小分区的时候操作错误,导致home分...
Linux记录】terminal使用ssh连入服务器失败,报错显示:REMOTE HOST IDENTIFICATION HAS CHANGED!
xiuwenwubolo的博客
03-15 248
ssh-keygen -R 服务器IP。换了新服务器但是IP没变。
Linux中pam认证详解,linux中pam认证解析
weixin_35884307的博客
05-15 587
pam认证机制:简单来说就是linux系统采取的这一种对不同用户以及系统中的不同服务进行的安全认证机制。认证流程:linux系统首先确定所需认证的服务,然后加载相应的PAM的配置文件(位于/etc/pam.d下),最后调用认证文件(位于/lib/security下)进行安全认证。举个例子,我们登陆的时候,会向 PAM 发出验证要求的通知, PAM 经过一连串的验证后,将验证的结果回报给该程序,然后...
下面代码怎么优化 def update_running_state_to_restore(self): # Get audits that should be stashed. need_stash_audits = self.get_need_rollback_audits() need_suspend_audits = [] need_rollback_audits = [] for audit in need_stash_audits: self.record_audit_init_state(audit) if audit.goal.name in ['saving_energy', 'power_limit']: need_rollback_audits.append(audit) else: need_suspend_audits.append(audit) LOG.info("Audits need suspend are: %s", need_suspend_audits) LOG.info("Audits need rollback are: %s", need_rollback_audits) # The drs audits should be stopped in a timely manner, # so need to handle the drs audits first. for audit in need_suspend_audits: if audit.state == objects.audit.State.ONGOING: LOG.info("Suspend non-dpm audit: %s", audit.uuid) audit.state = objects.audit.State.SUSPENDED audit.save() for audit in need_rollback_audits: LOG.info("Begin to roll back audit: %s", audit.uuid) self.dc_client.rollback_audit(self.context, audit.uuid) # Confirm that the audit is rolled back completely self.confirm_audit_rolled_back(audit) disabled_nodes = self.get_watcher_disabled_nodes() LOG.info("Audits have all been updated, disabled nodes by watcher: %s", disabled_nodes) self.running_state.stash_audits = self.stash_audits self.running_state.watcher_disabled_nodes = disabled_nodes
07-12
这段代码可以进行一些优化。首先,可以使用列表推导式来简化对need_stash_audits的计算。 ```python need_stash_audits = [audit for audit in self.get_need_rollback_audits()] ``` 接下来,可以使用两个列表推导式来替代for循环和if语句,将需要回滚和需要暂停的审计分别提取出来。 ```python need_rollback_audits = [audit for audit in need_stash_audits if audit.goal.name in ['saving_energy', 'power_limit']] need_suspend_audits = [audit for audit in need_stash_audits if audit not in need_rollback_audits] ``` 然后,可以使用列表推导式和条件表达式来简化循环中的if语句。这样可以减少代码行数并提高可读性。 ```python for audit in need_suspend_audits: LOG.info("Suspend non-dpm audit: %s", audit.uuid) audit.state = objects.audit.State.SUSPENDED if audit.state == objects.audit.State.ONGOING else audit.state audit.save() for audit in need_rollback_audits: LOG.info("Begin to roll back audit: %s", audit.uuid) self.dc_client.rollback_audit(self.context, audit.uuid) self.confirm_audit_rolled_back(audit) ``` 最后,注意到在代码的最后几行中,通过赋值操作更新了`self.running_state`的两个属性。可以将这两个属性的赋值操作放在代码的开头,以便更早地更新状态。 ```python self.running_state.stash_audits = self.stash_audits self.running_state.watcher_disabled_nodes = self.get_watcher_disabled_nodes() LOG.info("Audits have all been updated, disabled nodes by watcher: %s", self.running_state.watcher_disabled_nodes) ``` 通过这些优化,可以使代码更简洁、可读性更高,并且提高执行效率。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值