查看linux服务器重启事件,如何使用auditd来监控Linux数据中心服务器上的事件?...

最新推荐文章于 2024-06-01 07:40:51 发布
最新推荐文章于 2024-06-01 07:40:51 发布
阅读量354 收藏
点赞数
文章标签: 查看linux服务器重启事件

Linux Auditing System是便于系统管理员为数据中心服务器上的几乎每个操作创建日志规则的一种好方法。使用该系统意味着可以通过日志文件,跟踪事件、记录事件,甚至检测滥用或未经授权的活动。审查守护程序(auditd)让你可以选择监控服务器上的哪些操作(而不是监控所有操作),不会干扰标准的日志工具(比如syslog)。

auditd方面要注意的一个地方是,它实际上没有为系统添加任何额外的安全性。相反,它为你提供了跟踪服务器上出现的任何违规的方法,以便可以针对滥用行为采取操作。

有了该工具,管理员可以通过命令行创建规则,监控众多系统和服务。auditd在内核层面运行,因此你可以访问所需的任何服务。auditd系统适用于大多数Linux发行版,但我将在Ubuntu Server 18.04上演示其用法。

你需要什么?

你只需要Linux服务器(或桌面版,如果你愿意)以及拥有sudo权限的用户帐户。这些准备到位后,不妨看看auditd是如何工作的。

安装

auditd很可能已经安装在了你的计算机上。要是未安装,可以使用该命令安装它:

sudo apt-get install auditd -y

安装完毕后,确保使用以下命令来启动并启用系统:

sudo systemctl start auditd  sudo systemctl enable auditd

配置auditd

auditd的配置在单个文件中处理(而规则在一个完全独立的文件中处理)。虽然默认值足以满足大部分要求,但你可以通过执行该命令来配置系统:

sudo nano /etc/audit/audit.conf

在该文件中,你可能需要配置以下条目:

日志文件的位置在log_file = /var/log/audit/audit.log这一行中配置。 要在服务器上保留的日志数量在num_logs = 5这个条目中配置。 在max_log_file = 8这一行配置最大日志文件大小(以MB为单位)。

如果你对该配置进行了任何更改,需要使用该命令重启auditd:

sudo systemctl restart auditd

创建规则

要做的第一件事是确保你从干净的状态开始入手。执行命令:

sudo auditctl -l

上述命令应显示没有规则(图A)。

ea6974b928b8fb5cb20bdc46857918dc.png

图A:我们为auditd确保干净的状态

不妨创建一个规则,监控/etc/passwd和/etc/shadow是否有任何变化。我们想要创建规则,以便监控某个特定路径,并观察该文件的写入权限属性有无更改。换句话说,如果恶意用户更改了passwd文件和shadow文件的写入权限,将被记入日志。为此,我们将执行命令:

sudo nano /etc/audit/rules.d/audit.rules

在该文件的底部,添加以下两行:

-w /etc/shadow -p wa -k shadow  -w /etc/passwd -p wa -k passwd

对上述行分解如下:

-w是要关注的路径。 -p是要监控的权限。 -k是规则的键名。

至于权限,它有点类似标准Linux,增加了一项:

r -读取 w-写入 x-执行 a-文件属性(所有权或权限)的变化

在本例中,我们想查看文件的写入权限(w),看看属性(a)有无任何变化,因此我们的权限将是wa。

一旦我们添加了两个新规则,保存并关闭文件,然后使用该命令重启auditd:

sudo systemctl restart auditd

你现在应该能够通过执行该命令来查看列出的新规则(图B):

sudo auditctl -l

7f13bac718254c7eb5e38dbdd180e4f8.png

图B:我们的新规则已到位

查看auditd日志文件

可以通过执行该命令来查看auditd日志文件中的每个条目:

less /var/log/audit/audit.log

你很快会发现文件塞满了诸多条目。幸好有更简单的方法。因为我们在规则中包含了键名,我们可以使用内置的auditd搜索工具仅查看包含passwd或shadow键名的条目。想查看包含passwd键名的任何条目,执行该命令:

ausearch -k passwd

你应该会看到列出的任何条目,包含指定的键名(图C)。

db2e418ea97fe04354e78789d835d4ab.png

图C:passwd键名目前为止显示了两个条目

假设你添加一个新用户(使用sudo adduser命令)。因为你需要为该用户创建密码条目(写入到/etc/passwd),它将出现在我们的ausearch -k passwd搜索命令中(图D)。

b926db0fa1a8a7318bc0e72ba081f536.png

图D:为新用户创建了一个新密码,并使用auditd记入日志

ausearch工具功能很强大。想了解有关其用法的更多信息,务必通过man ausearch命令阅读参考手册页。

这就是在数据中心Linux服务器上使用auditd的要点。现在你有方法监控需要观察的任何系统或服务了。

原文标题:How to monitor events on your Linux data center servers with auditd,作者:Jack Wallen

【凡本网注明来源非中国IDC圈的作品,均转载自其它媒体,目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。】

yuwennaxiansheng
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux 重启_Linux审计服务Auditd systemctl重启问题解决
weixin_39525007的博客
11-30 1857
参照:https://www.linuxidc.com/Linux/2017-06/145316.htm在RHEL7&&CentOS7时代,默认的服务通过systemd控制,并通过systemctl命令完成启停。但是并不是所有的服务都可以完美的通过systemctl来控制,比如今天要提到的Auditd编辑audit.rules添加规则后,当然要通过restart服务来重启生效,但是...
Linux安全审计功能的实现—audit命令
yunweimao的博客
02-10 8321
1、简介我们知道在Linux系统中有大量的日志文件可以用于查看应用程序的各种信息,但是对于用户的操作行为(如某用户修改删除了某文件)却无法通过这些日志文件来查看,如果我们想实现监管企业员...
远程服务器监控重启方案
huobengle
07-22 711
摘要:如果你的服务器主要服务不定期被kill掉,如何来尽可能保证服务正常? 前几天某台服务器出现了问题,主要的进程(包括Web服务、top、vi这样的命令)都会不定期被kill掉,经过分析认为这台服务器的系统出现了问题,必须要进行重装。而这台服务器上面挂载了很重要的Web服务,要保证服务还能够正常的运行,必须要进行服务的迁移。 但是服务器到位还需要一定时间,这段时间内我们如何来保证服...
Linux安全之auditd审计工具使用说明
最新发布
qq_53058639的博客
06-01 1112
audited是Linux审核系统的用户空间组件。它负责将审核记录写入磁盘。查看日志是通过ausearch或aureport实用程序完成的。审核系统或加载规则的配置是使用auditctl实用程序完成的。在启动过程中,/etc/audit/audit.rules中的规则由auditctl读取并加载到内核中。另外,还有一个augenrules程序,它读取/etc/audit/rules.d/中的规则,并将它们编译为audit.rules文件。
Linux 平台下利用 Auditd 工具提供审计服务
当命运之神把人抛入谷底的时候,也是人生腾飞的最佳时节。这个时候谁能积累能量,谁就能在未来获得丰收的回报;谁若自愿自艾,必定坐失良机,等在前面的将是两手空空和后悔莫及。
08-18 157
[url=http://www.aqniu.com/learn/803.html]Linux 平台下利用 Auditd 工具提供审计服务[/url]
linux 开启审计服务,Linux审计服务Auditd systemctl重启问题解决
weixin_42349769的博客
05-02 1712
在RHEL7&&CentOS7时代,默认的服务通过systemd控制,并通过systemctl命令完成启停。但是并不是所有的服务都可以完美的通过systemctl来控制,比如今天要提到的Auditd编辑audit.rules添加规则后,当然要通过restart服务来重启生效,但是通过systemctl restart auditd就会报如下错误:[root@abc]# syste...
android/linux 事件查看
zyfzhangyafei的专栏
07-23 312
android/linux 事件查看 命令 : getevent 参数说明: -t 显示时间 -n 不换行打印 -s 显示指定位的开关状态 -S 显示所有位的开关状态 -v 根据mask值显示相关信息,执行后会一直显示上报数据 -d 如果设备可用,显示设备隐藏的描述信息 -p 显示设备支持的事件类型和编码方式 -i 显示设备的所有信息和支持的事件 -l 以文本形式输出事件类型和名称 -q 静默(清晰冗长的mask) -c 打...
如何监测部署服务是否正常运行,同时挂掉后自动重启
sherwinzhang的博客
02-20 586
服务器启动服务,偶尔服务会挂断。通过Python实现脚本进行端口监测,失败后自动重启,同时发送信息到终端接收。
linux服务器重启原因_如何使用linux脚本监控Tomcat服务器是否宕机和宕机后自动重启...
weixin_39895283的博客
01-30 109
第一步:创建脚本#!/bin/bash# func:自动监控tomcat脚本并且执行重启操作# 获取tomcat进程ID(其中[grep -w 'tomcat']代码中的tomcat需要替换为你的tomcat文件夹名)TomcatID=$(ps -ef |grep tomcat |grep -w 'apache-tomcat-7.0.96'|grep -v 'grep'|awk '{print $...
Linux开关机与重启
Sherlock的博客
08-07 384
开关机与重启
通过auditd找到干坏事的进程
woai110120130的专栏
06-11 1960
最近发现服务器上某个进程会定期执行echo 1 > /proc/sys/vm/drop_caches 命令, 不知道哪个傻瓜干的, 这严重影响了服务器的性能, 问题是通过kernal log看到的 [30352749.162493] sh (11336): drop_caches: 1 [30356347.539229] sh (21947): drop_caches: 1 [30359945.590508] sh (28856): drop_caches: 1 [30363543.255243] s
linux 进程创建 进程启动 监控
whatday的专栏
03-20 2187
0x00 简介 在入侵检测的过程中,进程创建监控是必不可少的一点,因为攻击者的绝大多数攻击行为都是以进程的方式呈现,所以及时获取到进程创建的信息能帮助我们快速地定位攻击行为。 本文将介绍一些常见的监控进程创建的方式,包括其原理、Demo、使用条件和优缺点。行文仓促,如果有哪些错误和不足,还望大家批评指正。 0x01 常见方式 目前来看,常见的获取进程创建的信息的方式有以下四种: 1、S...
【操作系统】安全审计-audit
Sanayeah的博客
11-16 3826
auditLinux内核提供的一种审计机制,由于audit是内核提供的,因此,在使用audit的过程中就包含内核空间和用户空间部分auditctl:用户态程序,用于审计规则配置和配置变更kaudit:内核空间程序,根据配置好的审计规则记录发生的事件auditd:用户态程序,通过netlink获取审计日志通常的使用流程用户通过auditctl配置审计规则内核的kauditd程序获取到审计规则后,记录对应的审计日志用户态的auditd获取审计日志并写入日志文件。
如何在 Linux查看关机和重启日期
so beautiful
04-13 3115
在大多数情况下,Linux 系统的关机时间、重启日期和运行时长等调试信息在系统故障排错时会显得比较重要。而绝大多数 Linux 发行版都会自动记录系统事件,以方便管理员通过命令行来轻松访问记录的信息。下面就为大家介绍,在 Linux 系统中查看关机和重启日期的几种方法。查看Linux最后一次启动时间如果您要查看 Linux 系统最后一次的启动时间,可以使用 who 命令的 -b 参数,它可以通过「...
linux 开启审计功能及规则配置
m0_74282605的博客
02-09 2352
【推荐阅读】#查询审计功能#审计日志文件目录#编辑审计配置文件加入以下配置规则:#自定义审计规则#重启审计服务#查询审计配置规则。
ansible:如何在centos 7上重启动auditd服务得到关于依赖的错误
weixin_42803243的博客
01-11 1331
在我的剧本中,我有一个更 audit.rules 的任务,然后通知应该重启动 auditd 服务的处理程序。在我的剧本中,我有一个更 audit.rules 的任务,然后通知应该重启动 auditd 服务的处理程序。在我的剧本中,我有一个更 audit.rules 的任务,然后通知应该重启动 auditd 服务的处理程序。当 playbook 运行时,会更审计规则并请求重启动 auditd,但这会失败,如下所示。中进行了探索、讨论和解决(大部分)。中进行了探索、讨论和解决(大部分)。
Linux服务器如何使用审计服务?
07-10
您可以使用 Linux 服务器上的审计服务来跟踪和记录系统上发生的事件和活动。下面是一些步骤来使用审计服务: 1. 检查审计工具:首先,确保您的 Linux 系统上已安装并启用了审计工具。常见的审计工具包括 Auditd(用于 CentOS/RHEL 系统)和 Audit(用于 Ubuntu/Debian 系统)。您可以使用以下命令检查是否已安装: - 对于 CentOS/RHEL:`rpm -qa | grep audit` - 对于 Ubuntu/Debian:`dpkg -l | grep audit` 2. 配置审计规则:一旦确认安装了审计工具,您需要配置审计规则以指定要跟踪的事件类型。审计规则定义了应该在系统上监视哪些活动,例如文件访问、用户登录、进程创建等。您可以编辑 `/etc/audit/audit.rules` 文件来添加或修改规则。例如,要监视所有的文件访问事件,您可以添加以下规则: ``` -w /path/to/file -p rwa ``` 3. 启动审计服务:启动审计服务以开始记录事件使用以下命令启动服务: - 对于 CentOS/RHEL:`systemctl start auditd` - 对于 Ubuntu/Debian:`service auditd start` 4. 查看审计日志:一旦启动了审计服务,系统将开始记录事件,并将它们写入审计日志文件。您可以使用以下命令查看审计日志: - 对于 CentOS/RHEL:`ausearch -f /path/to/file` - 对于 Ubuntu/Debian:`aureport -f -i` 5. 高级配置和分析:审计服务提供了许多高级配置选项和分析工具,帮助您更详细地跟踪系统活动。您可以了解更多关于审计工具的文档,并根据您的需求对其进行进一步配置和分析。 这些是使用 Linux 服务器上的审计服务的基本步骤。请注意,具体的步骤可能因您使用Linux 发行版和版本而有所不同。建议您参考相关文档或社区资源以获取更详细和特定于您环境的指导。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值