Auditd的常见的配置场景和审计日志查看方法

于 2024-11-26 10:47:44 发布
阅读量1.9k 收藏 11
点赞数 21
文章标签: 服务器 数据库 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46356409/article/details/144053147
版权

auditd 是 Linux 系统中的审计守护进程,用于记录系统的安全相关事件。通过配置 auditd,可以监控和记录各种系统活动,如文件访问、用户登录、系统调用等。以下是一些常见的配置场景和审计日志查看方法。

常见的配置场景

  1. 文件和目录访问审计

    监控特定文件或目录的访问情况。例如,监控 /etc/passwd 文件的访问:

    sudo auditctl -w /etc/passwd -p rwxa -k passwd_changes

    解释:

    • -w /etc/passwd:监控 /etc/passwd 文件。
    • -p rwxa:监控读(r)、写(w)、执行(x)和属性更改(a)。
    • -k passwd_changes:为该规则指定一个键(key),便于在日志中查找。

  2. 用户登录和注销审计

    监控用户登录和注销事件:

    sudo auditctl -a always,exit -F arch=b64 -S execve -k user_login

    解释:

    • -a always,exit:添加一个规则,监控所有 exit 事件。
    • -F arch=b64:指定 64 位架构。
    • -S execve:监控 execve 系统调用。
    • -k user_login:为该规则指定一个键(key),便于在日志中查找。

  3. 系统调用审计

    监控特定的系统调用。例如,监控 open 系统调用:

    sudo auditctl -a always,exit -F arch=b64 -S open -k file_open

    解释:

    • -a always,exit:添加一个规则,监控所有 exit 事件。
    • -F arch=b64:指定 64 位架构。
    • -S open:监控 open 系统调用。
    • -k file_open:为该规则指定一个键(key),便于在日志中查找。

  4. 用户命令审计

    监控用户执行的命令:

    sudo auditctl -a always,exit -F arch=b64 -S execve -F uid>=1000 -F uid!=4294967295 -k user_commands

    解释:

    • -a always,exit:添加一个规则,监控所有 exit 事件。
    • -F arch=b64:指定 64 位架构。
    • -S execve:监控 execve 系统调用。
    • -F uid>=1000:监控用户 ID 大于等于 1000 的用户(通常是普通用户)。
    • -F uid!=4294967295:排除未定义的用户 ID。
    • -k user_commands:为该规则指定一个键(key),便于在日志中查找。

审计日志查看方法

auditd 的审计日志通常存储在 /var/log/audit/audit.log 文件中。可以使用以下方法查看和分析审计日志:

  1. 直接查看日志文件

    使用 catlesstail 命令查看日志文件:

    sudo less /var/log/audit/audit.log

    或者实时查看日志:

    sudo tail -f /var/log/audit/audit.log

  2. 使用 ausearch 工具

    ausearch 是一个专门用于搜索审计日志的工具。例如,查找所有与 passwd_changes 相关的事件:

    sudo ausearch -k passwd_changes

    查找特定时间范围内的事件:

    sudo ausearch -ts recent -k user_login

    解释:

    • -ts recent:查找最近的事件。
    • -k user_login:查找与 user_login 相关的事件。

使用 aureport 工具

aureport 是一个生成审计报告的工具,可以帮助你快速查看和分析审计日志中的信息。以下是一些常见的使用场景:

  1. 生成每日的登录报告

    sudo aureport -l --summary

    这将生成一个关于用户登录事件的摘要报告。

  2. 生成文件访问报告

    sudo aureport -f --summary

    这将生成一个关于文件访问事件的摘要报告。

  3. 生成系统调用报告

    sudo aureport -s --summary

    这将生成一个关于系统调用事件的摘要报告。

  4. 生成用户命令报告

    sudo aureport -c --summary

    这将生成一个关于用户执行命令的摘要报告。

  5. 生成特定时间范围内的报告

    例如,生成过去一天的登录报告:

    sudo aureport -l --start today --end now

    这将生成从今天开始到现在的登录事件报告。

配置持久化审计规则

为了确保审计规则在系统重启后仍然有效,可以将审计规则写入配置文件。通常,审计规则可以写入 /etc/audit/rules.d/ 目录下的文件中,例如 /etc/audit/rules.d/audit.rules

  1. 编辑审计规则文件

    打开或创建 /etc/audit/rules.d/audit.rules 文件:

    sudo nano /etc/audit/rules.d/audit.rules

  2. 添加审计规则

    将所需的审计规则添加到文件中。例如:

    -w /etc/passwd -p rwxa -k passwd_changes
-a always,exit -F arch=b64 -S execve -k user_login
-a always,exit -F arch=b64 -S open -k file_open
-a always,exit -F arch=b64 -S execve -F uid>=1000 -F uid!=4294967295 -k user_commands

  3. 重启 auditd 服务

    保存文件并退出编辑器,然后重启 auditd 服务以应用新的规则:

    sudo systemctl restart auditd

总结

通过配置 auditd,可以监控和记录系统中的各种安全相关事件。常见的配置场景包括文件和目录访问审计、用户登录和注销审计、系统调用审计以及用户命令审计。审计日志通常存储在 /var/log/audit/audit.log 文件中,可以使用 ausearchaureport 工具查看和分析审计日志。为了确保审计规则在系统重启后仍然有效,可以将规则写入 /etc/audit/rules.d/ 目录下的配置文件中,并重启 auditd 服务以应用新的规则。

《云计算》-安全策略-部署audit监控文件、文件发生任何变化即记录日志、通过手动ausearch工具查看日志内容
解启超
03-06 522
1 案例1:部署audit监控文件 1.1 问题 本案例要求熟悉audit审计工具的基本使用,完成以下任务操作: 使用audit监控/etc/ssh/sshd_config 当该文件发生任何变化即记录日志 通过手动ausearch工具查看日志内容 1.2 方案 审计的目的是基于事先配置的规则生成日志,记录可能发生在系统上的事件(正常或非正常行为的事件),审计不会为系统提供额外的安全保护,但她会...
Linux 审计日志安全工具 auditdLinux 审计守护进程
最新发布
02-18 1069
在现代的 Linux 系统中,审计日志的安全性对于跟踪系统活动、检测安全漏洞、进行故障排查以及满足合规要求至关重要。`auditd`(Audit Daemon)是 Linux 系统中一个强大的工具,它通过记录系统活动日志,帮助管理员进行全面的安全审计事件监控。本文将详细介绍 `auditd`,并阐述其如何帮助提高系统的安全性。
Linuxaudit日志的使用方法
热门推荐
Han的小站
02-27 5万+
auditd服务的安装: 以CentOS6.5为例,使用下面的方法确认auditd服务的安装情况: yumlist audit audit-libs 确认以下两个package是否安装: audit.x86_64
linux audit 日志 查看用户_日志管理
weixin_39702639的博客
11-28 702
我们平时使用linux时偶尔会遇到一些错误,那么排查错误应该去哪里开始呢,日志就是一个很好的工具,记录了一些操作错误,当然不同的日志是记录不同的类型的,下面我们就来看看。常见日志一、处理日志的进程第一类:rsyslogd: 系统专职日志程序。处理绝大部分日志记录,系统操作有关的信息,如登录信息,程序启动关闭信息,错误信息观察rsyslog程序:[root@localhost ~]# ps aux...
Office365 - 如何查询Audit log
WarmSunshine7的博客
02-16 818
在做Office365维护的时候,经常会因为一些user report issue,查询change request等需求需要查询Audit log,那么如何在Office365进行查询呢?本文对此做介绍。
Linux中查看日志文件的正确姿势,求你别tail走天下了!
勇往直前的专栏
03-23 522
作为一个后端开发工程师,在Linux中查看查看文件内容是基本操作了。尤其是通常要分析日志文件排查问题,那么我们应该如何正确打开日志文件呢?对于我这种小菜鸡来说,第一反应就是 cat,tail,vi(或vim)了,是的,我曾经用过好多次vim编辑器来查看日志文件(可耻)。 千万不要使用vi命令来查看大文件内容, 尤其对于那些几十G的大文件。因为vi仅仅是一个编辑器(可以理解为windows中的记事...
linux audit 日志 查看用户_怎么查看Linux系统用户登录日志
weixin_39681621的博客
11-25 526
请关注本头条号,每天坚持更新原创干货技术文章。如需学习视频,请在微信搜索公众号“智传网优”直接开始自助视频学习。1. last命令简介该命令用来列出目前与过去登录系统的用户相关信息。原文描述说明:show listing of last logged in users2. last命令文件位置[root@zcwyou ~]# which last/usr/bin/last3. last命令原理执行...
使用Ansible配置Linux Auditd审计工具指南
根据文件标题,我们将关注点放在Linux系统中的auditd服务的设置配置上,同时考虑到ansible作为一个自动化部署工具的应用场景。以下是对标题、描述、标签以及文件名称列表中所蕴含的知识点的详细解读: ### 标题...
linux审计进程规则,linux audit审计(5)--audit规则配置
weixin_39552538的博客
04-29 1528
audit可以配置规则,这个规则主要是给内核模块下发的,内核audit模块会按照这个规则获取审计信息,发送给auditd来记录日志。规则类型可分为:1、控制规则:控制audit系统的规则;2、文件系统规则:也可以认为是文件监控,可以监控一个特定文件或者一个路径。3、系统调用规则:可以记录特定程序的系统调用。audit规则可以通过auditctl,在命令行里输入,这些设置的规则为临时的,当系统重启后...
Linux内核审计日志audit_log,linux audit审计(4)--audit日志切分,以及与rsyslog的切分协同使用...
weixin_39616961的博客
05-08 1330
audit的规则配置稍微不当,就会短时间内产生大量日志,所以这个规则配置一定要当心。当audit日志写满后,可以看到如下场景:-r-------- 1 root root 8388609 Mar 31 11:47 audit.log.997-r-------- 1 root root 8388780 Mar 31 11:47 audit.log.998-r-------- 1 root root ...
日志审计的利器:tail命令生成报告的5种方法
tail命令作为Unix/Linux系统中用于查看文件末尾内容的实用工具,广泛应用于实时日志分析、报告生成安全审计中。本文首先介绍tail命令的基础知识日志分析中的基础应用,随后深入探讨其在生成动态报告定制化...
auditd:最佳实践审核配置
05-08
___ ___ __ __ / | __ ______/ (_) /_____/ / / /| |/ / / / __ / / __/ __ / / ___ / /_/ / /_/ / / /_/ /_/ / /_/ |_\__,_/\__,_/_/\__/\__,_/ 最佳实践审核配置 主意 此审核配置的想法是提供一个基本配置,该配置可以 开箱即用,可在所有主要Linux发行版上使用 适合大多数用例 产生合理数量的日志数据 涵盖与安全相关的活动 易于阅读(不同部分,很多评论) 资料来源 该配置基于以下来源 Gov.uk审核规则 CentOS 7强化 Linux审计库 经过审核的高性能linux审核 进一步规定 并非所有这些规则都包括在内。 有关PCI DSS的合规性,请参见: : 对于NISPOM合规性,请
Linux系统审计:使用auditd进行有效监控的指南
![Linux系统审计:使用auditd进行有效监控的指南]...本章节旨在为读者提供Linux审计的基础知识,为进一步深入理解配置auditd服务打下坚实的基础。 ## 1.1 Linux审计的必要性 在当今安全威胁日益复杂的背景下,Lin
Linux审计工具auditd使用与日志收集
不以物喜的博客
02-04 2万+
0 概述 Auditd工具可以帮助运维人员审计Linux,分析发生在系统中的发生的事情。Linux 内核有用日志记录事件的能力,包括记录系统调用文件访问。管理员可以检查这些日志,确定是否存在安全漏洞(如多次失败的登录尝试,或者用户对系统文件不成功的访问)。 1 安装 Centos7默认已安装Audit 使用命令service auditd status可查看该服务是否开启 2 配置文件 在/etc/audit路径下 auditd.conf文件 ----审计工具的配置文件 audit.rules文
日志审计策略配置audit
weixin_33742618的博客
01-12 2862
日志审计策略配置1. 系统缺省已经开启syslog/rsyslog服务,禁止关闭。系统syslog/rsyslog服务会将所有系统日志自动记录到/var/log/messages文件中,系统日志永久保留。2. 开启audit审计功能,可以监控指定用户或目录,缺省会监控root的所有登录操作。l 添加规则到 /etc/audit/audit.rules(RHEL7为...
SELinux auditd日志系统的安装与启动
Linux脚本程序包及安装方法(以webmin安装为例)详解
02-06 767
当查看特定安全上下文的策略规则时,SELinux 会使用被称为 AVC(Access Vector Cache,访问矢量缓存)的缓存,如果访问被拒绝(也被称为 AVC 拒绝),则会在一个日志文件中记录下拒绝消息。 这些被拒绝的消息可以帮助诊断解决常规的 SELinux 策略违规行为,至于这些拒绝消息到底被记录在什么位置,则取决于 auditd rsyslogd 守护进程的状态: 若...
linux audit 日志 查看用户_一项一项教你测等保2.0——Linux安全审计
weixin_39526872的博客
11-28 1887
一、前言前边我们已经讲了windows系统下的安全审计,现在我们讲讲Linux系统下的安全审计,其实两个系统下的测评项都是一样的,不一样的就是不同的系统查看系统配置方法不一样,windows系统使用的都是图形交互界面,而且我们平时使用windows系统比较多,查找起来比较方便,Linux系统是要使用命令来查看系统配置的,需要有一些Linux系统命令的基础,当然也都比较简单,现在就让我们来看看Li...
auditd日志分析方法
weixin_38637595的博客
05-22 3143
auditd是监听目录下的文件操作 你可以通过auditd配置你要监听的目录,之后对这个目录下的操作会记录到autitd的日志中 这里先不讲如何去配置auditd,这里讲如何去分析auditd日志 auditd原理简介 首先我们创建文件也好,删除文件也好,都是由进程帮我们去执行的 linux内核提供接口,可以查询进程对文件的操作 autitd记录的就是文件操作时涉及到的数据记录下来 所以只要分析日志就可以判断出是谁对哪个文件进行了什么操作 本文只分享分析方法,这里就讲得粗糙些 怎么去分析 这
【安全】使用auparse解析auditd审计日志
追寻梦想的青春
12-21 1036
通过auparse就可以快速方便的实现字段的解析提取,但是需要注意的是,一旦调用auparse_feed将数据给到auparse,auparse会先放到队列,然后进行解析,因此,如果审计日志量级比较大,有可能放到队列的操作会失败,也就是调用auparse_feed失败,如果想增大日志处理的吞吐量,可以创建一个比较大缓存队列,收到日志后,先放到队列,然后再从队列中取出后调用auparse_feed。在序列号后面就是若干字段。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值