技术特征:
1.一种用于Linux的audit日志分析方法,其特征在于,通过在Linux操作系统中进行Audit的配置及分析,从Audit子系统中查看系统事件,搜索确定安全裂口;其实现过程主要包括如下步骤:1)audit服务端安装,2)audit客户端配置,3)修改audit规则,4)audit分析。
2.根据权利要求1所述一种用于Linux的audit日志分析方法,其特征在于,所述1)audit服务端安装这一步骤主要包括:(1)安装audit;(2)修改/etc/audit/auditd.conf文件进行配置;(3)重启audit服务。
3.根据权利要求2所述一种用于Linux的audit日志分析方法,其特征在于,所述2)audit客服端配置这一步骤主要包括:(1)在客户端上面安装audispd-plugins;(2)修改/etc/audisp/audisp-remote.conf配置远程服务端地址;(3)修改/etc/audisp/plugins.d/au-remote.conf文件;(4)重启audit服务。
4.根据权利要求3所述一种用于Linux的audit日志分析方法,其特征在于,所述3)修改audit规则这一步骤主要包括:通过修改/etc/audit/audit.rules目录,添加规则链;或者,通过使用auditctl命令进行规则链的添加。
5.根据权利要求4所述一种用于Linux的audit日志分析方法,其特征在于,所述4)audit分析这一步骤主要包括:使用ausearch和aureport命令进行audit的日志分析,能够通过man命令进行查看。