审计
基于事先配置的规则生成日志,记录可能发生在系统上的事件。会发现并记录违反安全策略的人及其行为,但是不会提供额外的安全保护
可以记录日期与事件及结果,触发事件的用户,所有认证都可以被记录,如ssh等,还可记录数据文件的修改行为。比如监控文件访问,监控系统调用,记录用户运行的命令,审计可以监控网络访问行为
ausearch工具,可以根据条件过滤审计日志
aureport工具,可以生成审计报告
[root@guowei ~]# aureport -a #报告关于访问向量缓冲(access vector cache,AVC)的消息
AVC Report
========================================================
# date time comm subj syscall class permission obj event
========================================================
1. 2019年04月11日 00:47:24 accounts-daemon system_u:system_r:accountsd_t:s0 83 dir write system_u:object_r:admin_home_t:s0 denied 27
...
[root@guowei ~]# aureport -c | tail -1 #报告关于配置修改的消息
244. 2019年04月19日 11:21:55 NETFILTER_CFG -1 yes 824
[root@guowei ~]# aureport -cr #报告关于crypto事件的消息
Crypto Report
===================================
# date time auid type success event
===================================
<no events of interest were found>
[root@guowei ~]# aureport -e | head -6 #报告关于事件的消息
Event Report
===================================
# date time event type auid success
===================================
1. 2019年04月11日 00:47:23 223 DAEMON_START -1 yes
[root@guowei ~]# aureport -f | head -6 #报告关于文件的消息
File Report
===============================================
# date time file syscall success
最低0.47元/天 解锁文章
扫一扫
756
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
