centos 日志审计_CentOS7日志审计

最新推荐文章于 2024-05-23 11:57:46 发布
最新推荐文章于 2024-05-23 11:57:46 发布
阅读量1.9k 收藏 3
点赞数
文章标签: centos 日志审计
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_32999397/article/details/113027986
版权
本文详细介绍了CentOS7的审计系统,包括auditd、auditctl等组件的作用,审计日志配置,以及如何使用ausearch和aureport进行日志搜索和报告生成。审计系统用于记录系统调用和文件访问,确保系统安全。
摘要由CSDN通过智能技术生成

一、用户空间审计系统简介

Linux 内核有用日志记录事件的能力,包括记录系统调用和文件访问。管理员可以检查这些日志,确定是否存在安全漏洞(如多次失败的登录尝试,或者用户对系统文件不成功的访问)。

Linux 用户空间审计系统由 auditd、audispd、auditctl、autrace、ausearch 和 aureport 等应用程序组成。下面依次说明:

auditctl:即时控制审计守护进程的行为的工具,如添加规则等。

auditd:audit 守护进程负责把内核产生的信息写入到硬盘上,这些信息由应用程序和系统活动触发产生。用户空间审计系统通过 auditd 后台进程接收内核审计系统传送来的审计信息,将信息写入到 /var/log/audit/audit.log。

aureport:查看和生成审计报告的工具。

ausearch:查找审计事件的工具

auditspd:转发事件通知给其他应用程序,而不是写入到审计日志文件中。

autrace:一个用于跟踪进程的命令。

audit和syslog日志系统的关系

audit 主要用来记录安全信息,用于对系统安全事件的追溯,而 syslog 用来记录系统信息,如硬件警报和软件日志等。syslog 属于应用层,没办法记录太多信息,audit 用来记录内核信息,包括文件的读写,权限的改变等。

二、auditd配置文件

vi /etc/audit/auditd.conf

# 是否记录本地事件,如果设为no,只记录来自网络的事件

local_events = yes

write_logs = yes

# 日志文件

log_file = /var/log/audit/audit.log

log_group = root

log_format = RAW

# 日志文件刷新方式,可选的选项有:

# NONE:不做特别处理

# INCREMENTAL:用freq选项的值确定多长时间发生一次向磁盘的刷新

# DATA:审计数据和日志文件是同步的

# SYNC:写日志文件时,数据和元数据是同步的

flush = INCREMENTAL_ASYNC

freq = 50

最低0.47元/天 解锁文章
一廿糖
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
centos 日志审计_生产环境日志审计
weixin_35728286的博客
01-17 765
日志审计,就是记录所有系统和相关用户行为的信息,并且可以自动分析,处理。在中小企业环境中,一般都是在单个服务器上记录日志,而大型企业的生产环境当中,会有专门的日志服务器乃至集群。本文通过sudo配合centos自带的rsyslog(syslog)服务,进行日志审计。项目描述:1.权限控制后进一步实施对所有用户日志记录方案2.通过sudo 和syslog配合实现对所有用户进行日志审计并将记录集中管理...
centos 日志审计_Linux开启日志审计功能
weixin_32822843的博客
02-06 3472
将下面这段内容添加在/etc/profile文件末尾,执行source /etc/profile使之生效。HISTSIZE=1000HISTTIMEFORMAT="%Y/%m/%d %T ";export HISTTIMEFORMATexport HISTORY_FILE=/var/log/audit.logexport PROMPT_COMMAND='{ thisHistID=`history ...
centos 日志审计_Linux简单的日志审计
weixin_42422362的博客
01-17 463
生产环境日志审计解决方案所谓的日志审计,就是记录所有系统及相关的用户行为,并且可以自动分析、处理、展示(包括文本或者录像)1) :通过环境变量以及rsyslog服务进行全部日志审计(信息太大,不推荐)2) sudo配置rsyslog服务,进行日志审计(信息较少,效果不错)3) 在bash解释器中嵌入一个监视器,让所有被审计的系统用户使用修改过的增加监视器的特殊bash程序作...
CentOS历史命令查询、用户操作审计
最新发布
zywhehe的博客
05-23 1344
CentOS历史命令查询、用户操作审计
centos 日志审计_Linux\CentOS中auditd安全审计工具的使用
weixin_32943417的博客
01-17 1138
介绍Auditd工具可以帮助运维人员审计Linux。这个工具在大多数Linux操作系统中是默认安装的,是Linux审计系统中用户空间的一个组件,其负责将审计记录写入磁盘。安装$apt-getinstallauditdor$yum-yinstallauditauditd-libs相关命令auditctl : 即时控制审计守护进程的行为的工具,比如如添加规则等等$sudoaudit...
centos 日志审计_CentOS7下安全审计工具Auditd的简单使用
weixin_30143813的博客
01-17 3431
auditdauditd是Linux审计系统的用户空间组件,它负责将审计记录写入磁盘。查看日志使用ausearch或aureport实用程序完成。使用auditctl实用程序配置审核系统或加载规则。在auditd启动期间,/etc/audit/audit.rules 中的审计规则由auditctl读取并加载到内核中。或者还有一个 augenrules程序,读取/etc/audit/rules.d...
CIS_CentOS_Linux_7_Benchmark_v3.1.1.pdf
08-04
CIS_CentOS_Linux_7_Benchmark_v3.1.1.pdf
CIS_CentOS_Linux_7_Benchmark_v3.0.0.pdf
12-16
CIS_CentOS_Linux_7_Benchmark_v3.0.0.
CentOS 7 x86_64 Minimal 1810
03-05
CentOS 7 x86_64 Minimal 1810
CentOS7.ntp-4.2.8p15-1.el7.centos.x86_64.rpm.tar
09-07
基于CentOS7编译的,修复ntp-4.2.6漏洞。 ntp-4.2.8p15-1.el7.centos.x86_64.rpm ntp-debuginfo-4.2.8p15-1.el7.centos.x86_64.rpm ntp-perl-4.2.8p15-1.el7.centos.x86_64.rpm ntpstat-4.2.8p15-1.el7.centos....
esl-erlang_21.0-1~centos~7_amd64.rpm
07-13
erlang centos7安装包,安装rabbitmq依赖的安装包,rpm安装包
linux进程退出开启日志审计及nessus扫描日志审计
08-27
对linux进程退出、启动syslog日志进行审计、对nessus扫描操作系统产生的日志进行审计
Centos7查看历史历史命令执行时间
m0_60352183的博客
10-10 1162
Linux查看历史历史命令执行时间
linux系统centos7服务器开启mysql数据库审计
mangobot的博客
03-02 4651
开启审计 vim /etc/my.cnf 在/etc/my.cnf中添加下述配置 [mysqld] general_log = on // on为开启;off为关闭 general_log_file = /var/log/generalLog.log // 审计信息存储位置 log_timestamps = SYSTEM //设置日志...
CentOS7 设置查看历史命令时间
wjy的博客
06-10 3818
如题,教大家如何设置history命令查看命令执行时间 1、root用户登陆系统(修改配置啥的root权限大,比较方便,实验或联系随意,生产中谨慎操作) 2、接下来我们修改配置文件,~/.bash_profile 或者/etc/profile,这里我们修改前者 执行vi ~/.bash_profile 在此后面新增两行,保存退出 3、source /etc/profile && source ~/.bash_profile 4、在执行 history命令就能看到命令执行时间
CentOS7日志审计
热门推荐
ezbuy的博客
07-16 1万+
写在前面的话: 最近公司在做等保,其中有审计的内容,因为第一次接触,所以在此粘贴在网上查找的各种资料,以作记录. 目录 一、用户空间审计系统简介 二、auditd配置文件 三、配置审计规则 四、审计日志内容 五、使用ausearch搜索审计日志 六、使用aureport查看审计报告 一、用户空间审计系统简介 Linux 内核有用日志记录事件的能力,包括记录系统调用和文件访问。管理...
CentOS 7 安全加固、检测、审计
静静是我女朋友
11-07 1万+
RKHunter:检测Rootkit RKHunter 传送门:http://rkhunter.sourceforge.net/ Root Kit 详解:http://linux.vbird.org/linux_security/0420rkhunter.phpRKHunter 安装 [root@linuxprobe ~]# yum --enablerepo=epel -y instal
linux审计日志都包含哪儿写,windows系统中的审计日志包括哪些
weixin_33117513的博客
05-11 660
满意答案一.Windows日志系统 WindowsNT/2000的系统日志文件有应用程序日志AppEvent.Evt、安全日志SecEvent.Evt、系统日志SysEvent.Evt,根据系统开通的服务还会产生相应的日志文件。例如,DNS服务器日志DNS Serv.evt,FTP日志、WWW日志等。日志文件默认存放位置:%systemroot%\system32\config,默认文件大小...
centos 启用远程日志功能_CentOS7下搭建Rsyslog Server记录远程主机系统日志
weixin_39983223的博客
01-26 787
rsyslog是一个快速处理收集系统日志的开源程序,提供了高性能、安全功能和模块化设计。rsyslog 是syslog 的升级版,它将多种来源输入输出转换结果到目的地, rsyslog被广泛用于Linux系统以通过TCP/UDP协议转发或接收日志消息。 rsyslog守护进程可以被配置成两种环境,一种是配置成日志收集服务器,rsyslog进程可以从网络中收集其它主机上的日志数据,这些主机会将日...
CentOS 6.3 x86_64 操作系统安装指南
CentOS 6.3 x86_64 操作系统安装手册 本文将详细介绍 CentOS 6.3 x86_64 操作系统的安装和配置过程,包括硬件 BIOS 设置、系统安装步骤、语言选择、键盘配置、设备选择、主机名配置、时区选择、root 用户密码设置、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值