centos 日志审计_Linux\CentOS中auditd安全审计工具的使用
介紹
Auditd工具可以幫助運(yùn)維人員審計(jì)Linux。這個(gè)工具在大多數(shù)Linux操作系統(tǒng)中是默認(rèn)安裝的,是Linux審計(jì)系統(tǒng)中用戶空間的一個(gè)組件,其負(fù)責(zé)將審計(jì)記錄寫(xiě)入磁盤(pán)。
安裝$?apt-get?install?auditd
or
$?yum?-y?install?audit?auditd-libs
相關(guān)命令
auditctl : 即時(shí)控制審計(jì)守護(hù)進(jìn)程的行為的工具,比如如添加規(guī)則等等$?sudo?auditctl?-l#查看規(guī)則
$?sudo?auditctl?-D#清空規(guī)則
aureport:查看和生成審計(jì)報(bào)告的工具。$?aureport?-l
#生成登錄審計(jì)報(bào)告
ausearch:查找審計(jì)事件的工具ausearch?-i?-p?4096
autrace:一個(gè)用于跟蹤進(jìn)程的命令。autrace?-r?/usr/sbin/anacron
相關(guān)文件/etc/audit/audit.rules?:?記錄審計(jì)規(guī)則的文件。
/etc/audit/rules.d/?:?規(guī)則子目錄,可以直接在這里面添加.rules文件生效配置
/etc/audit/auditd.conf?:?auditd工具的配置文件。
/var/log/audit/audit.log?:?默認(rèn)日志路徑
簡(jiǎn)單使用
0、目錄審計(jì)
使用類(lèi)似的命令來(lái)對(duì)目錄進(jìn)行審計(jì),如下:sudo?auditctl?-w?/production/
以上命令將監(jiān)控對(duì) /production 目錄 的所有訪問(wèn)。
1、監(jiān)控文件或者目錄的更改auditctl?-w?/etc/passwd?-p?rwxa
-w path : 指定要監(jiān)控的路徑,上面的命令指定了監(jiān)控的文件路徑 /etc/passwd
-p : 指定觸發(fā)審計(jì)的文件或者目錄的訪問(wèn)權(quán)限
rwxa : 指定的觸發(fā)條件,r 讀取權(quán)限,w 寫(xiě)入權(quán)限,x 執(zhí)行權(quán)限,a 屬性(attr)
運(yùn)行這條命令之后就開(kāi)始監(jiān)控了,但是機(jī)器重啟之后就失效了,因此要永久生效就需要寫(xiě)到規(guī)則文件里面。
vim /etc/auditd/rules.d/auditd.rules
將auditctl的命令參數(shù)寫(xiě)到這個(gè)文件里面即可。
2、查找日志ausearch-a?number?#只顯示事件ID為指定數(shù)字的日志信息,如只顯示926事件:ausearch?-a?926
-c?commond?#只顯示和指定命令有關(guān)的事件,如只顯示rm命令產(chǎn)生的事件:auserach?-c?rm
-i?#顯示出的信息更清晰,如事件時(shí)間、相關(guān)用戶名都會(huì)直接顯示出來(lái),而不再是數(shù)字形式
-k?#顯示出和之前auditctl?-k所定義的關(guān)鍵詞相匹配的事件信息
3、日志字段說(shuō)明參數(shù)說(shuō)明:time?:審計(jì)時(shí)間。
name?:審計(jì)對(duì)象
cwd?:當(dāng)前路徑
syscall?:相關(guān)的系統(tǒng)調(diào)用
auid?:審計(jì)用戶ID
uid和?gid?:訪問(wèn)文件的用戶ID和用戶組ID
comm?:用戶訪問(wèn)文件的命令
exe?:上面命令的可執(zhí)行文件路徑
4、查看審計(jì)日志
添加規(guī)則后,我們可以查看 auditd 的日志。使用 ausearch 工具可以查看auditd日志。
可以使用 ausearch 工具的以下命令來(lái)查看審計(jì)日志了。$?sudo?ausearch?-f?/etc/passwd
-f 設(shè)定ausearch 調(diào)出 /etc/passwd文件的審計(jì)內(nèi)容
5、使用以下命令查看授權(quán)失敗的詳細(xì)信息:$?sudo?aureport?-au
6、如果我們想看所有賬戶修改相關(guān)的事件,可以使用-m參數(shù)。$?sudo?aureport?-m
Auditd 配置文件
我們已經(jīng)添加如下規(guī)則:$?sudo?auditctl?-w?/etc/passwd?-p?rwxa
$?sudo?auditctl?-w?/production/
現(xiàn)在,如果確信這些規(guī)則可以正常工作,我們可以將其添加到/etc/audit/audit.rules中使得規(guī)則永久有效。以下介紹如何將他們添加到/etc/audit/audit.rules中去。
別忘了重啟auditd守護(hù)程序#?/etc/init.d/auditd?restart
或
#?service?auditd?restart
總結(jié)
Auditd是Linux上的一個(gè)審計(jì)工具。你可以閱讀auidtd文檔獲取更多使用auditd和工具的細(xì)節(jié)。例如,輸入 man auditd 去看auditd的詳細(xì)說(shuō)明,或者鍵入 man ausearch 去看有關(guān) ausearch 工具的詳細(xì)說(shuō)明。
總結(jié)
以上是生活随笔為你收集整理的centos 日志审计_Linux\CentOS中auditd安全审计工具的使用的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: dict过滤 python_关于pyth
- 下一篇: linux 用户使用率的限制,linux