audit基础

已于 2024-12-21 14:26:30 修改
阅读量391 收藏 4
点赞数 7
文章标签: centos
于 2024-12-21 14:12:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/GTR20/article/details/144630152
版权

一、安装

1、Centos自带服务,如果没有可以直接安装:

        yum install audit -y

或:

        wget https://mirrors.aliyun.com/centos/7/os/x86_64/Packages/audit-libs-2.8.5-4.el7.x86_64.rpm    下载

        rpm -ivh audit-libs-2.8.5-4.el7.x86_64.rpm  解压

2、安装完之后,需要启动并设置开机自启

        systemctl start auditd   #启动
        systemctl enable auditd    #开机自启

二、简单使用

1、通过/etc/passwd/etc/shadow的修改可以捕捉到账号的变更

        auditctl -w /etc/passwd -p wa -k identity

        auditctl -w /etc/shadow -p wa -k identity

        这里-w表示监控文件,-p wa表示监控写入(w)和属性更改(a),-k identity为事件添加一个标记,方便在审计日志中查找。

2、通过监控/var/log/wtmp/var/log/btmp文件来记录用户的登录和注销事件。

        auditctl -w /var/log/wtmp -p wa -k logins
        auditctl -w /var/log/btmp -p wa -k logins

  /var/log/wtmp记录登录、注销、关机和重启事件,而/var/log/btmp记录失败的登录尝试

3、通过监控/var/run/utmp文件可以跟踪当前登录的所有用户。

        auditctl -w /var/run/utmp -p wa -k session

        所有审计记录都将用标识符“session”标记,可以用who命令读取。

4、修改过配置后需要重启服务使之生效

        service auditd restart  #重启服务

        通过/var/log/audit/audit.log文件来查看信息变更

        cat /var/log/audit/audit.log

        ausearch -i    #查看详细日志

        ausearch -ts today  #可以按时间查看今天的日志

三、基础命令

  • auditctl -version  #查看版本
  • yum remove audit -y   #移除audit
  • service auditd stop  #停止服务
  • systemctl status auditd或systemctl status auditd   #查看服务状态

荼尛
关注
centos 7,linux 离线安装docker
草叶儿的博客
05-17 1050
参考:https://www.cnblogs.com/hovin/p/13630569.html 这里是centos7.6,实测成功。 下载一堆包,然后一次安装即可(下载的时候,推荐使用搜索功能定位到资源) 1.这边下载三个包 https://download.docker.com/linux/centos/7/x86_64/stable/Packages/ 包名: docker-ce-19.03.4-3.el7.x86_64.rpm docker-ce-cli-19.03.4-3.el7.x86_64.
【安全】linux audit审计使用入门
最新发布
heike_Ch的博客
07-04 2641
rules:审计规则,其中配置了审计系统需要审计的操作auditctl:用户态程序,用于审计规则配置和配置变更kaudit:内核空间程序,根据配置好的审计规则记录发生的事件auditd:用户态程序,通过netlink获取审计日志用户通过auditctl配置审计规则内核的kauditd程序获取到审计规则后,记录对应的审计日志用户态的auditd获取审计日志并写入日志文件。audit的主要应用场景是安全审计,通过对日志进行分析发现异常行为。
audit安装配置及使用
weixin_45630387的博客
04-14 2822
官网链接:https://access.redhat.com/documentation/zh-cn/red_hat_enterprise_linux/7/html/security_guide/chap-system_auditing。
audit-libs-python-2.8.5-4.el7.x86_64.rpm
09-18
docker离线安装所需包,需要的拿去吧
Linux安全之auditd审计工具使用说明
Innocence_0的博客
02-27 6173
audited是Linux审核系统的用户空间组件。它负责将审核记录写入磁盘。查看日志是通过ausearch或aureport实用程序完成的。审核系统或加载规则的配置是使用auditctl实用程序完成的。在启动过程中,/etc/audit/audit.rules中的规则由auditctl读取并加载到内核中。另外,还有一个augenrules程序,它读取/etc/audit/rules.d/中的规则,并将它们编译为audit.rules文件。
ansible:如何在centos 7上重新启动auditd服务得到关于依赖的错误
weixin_42803243的博客
01-11 1759
在我的剧本中,我有一个更新 audit.rules 的任务,然后通知应该重新启动 auditd 服务的处理程序。在我的剧本中,我有一个更新 audit.rules 的任务,然后通知应该重新启动 auditd 服务的处理程序。在我的剧本中,我有一个更新 audit.rules 的任务,然后通知应该重新启动 auditd 服务的处理程序。当 playbook 运行时,会更新审计规则并请求重新启动 auditd,但这会失败,如下所示。中进行了探索、讨论和解决(大部分)。中进行了探索、讨论和解决(大部分)。
audit-userspace:Linux审计用户空间存储库
02-05
在深入探讨"audit-userspace:Linux审计用户空间存储库"之前,我们首先需要理解Linux审计系统的基础知识。Linux审计系统是一个强大的工具,用于记录系统活动,它提供了一种机制来跟踪和记录系统中的关键事件,包括...
audit-plugin-mysql-5.7-1.1.7-921-linux-x86_64.zip
04-25
总之,MySQL 5.7的审计插件是数据库管理中不可或缺的一部分,它增强了系统的透明度,为安全和合规提供了坚实的基础。正确配置和使用此插件,能够帮助你更好地保护数据、满足监管要求,并对数据库行为有深入的了解。
Bitrac.rar_audit
09-24
1. **审计基础**:审计是检查组织的业务操作和信息系统,以确定其是否符合既定的法规、政策和标准。这包括内部控制系统、数据安全、财务报告等方面。 2. **审计目标**:审计的目标通常是评估风险、改进运营、确保...
审计报告- Audit reporting.pdf
09-23
- ISA 700,形成审计意见和报告财务报表:这是审计报告的基础,规定了如何表达审计意见和报告财务报表的主要内容。 - ISA 705,审计报告中的意见修改:当需要对审计意见进行调整时,如对财务报表有重大保留或无法...
CentOS7日志审计
ezbuy的博客
07-16 1万+
写在前面的话: 最近公司在做等保,其中有审计的内容,因为第一次接触,所以在此粘贴在网上查找的各种资料,以作记录. 目录 一、用户空间审计系统简介 二、auditd配置文件 三、配置审计规则 四、审计日志内容 五、使用ausearch搜索审计日志 六、使用aureport查看审计报告 一、用户空间审计系统简介 Linux 内核有用日志记录事件的能力,包括记录系统调用和文件访问。管理...
centos安装审计日志
qq_42430287的博客
02-23 1517
centos安装audit审计日志 安装: 直接使用yum进行安装auditd系列程序: yum -y install audit auditd-libs 相关命令: 1、auditctl : 即时控制审计守护进程的行为的工具,比如如添加规则等等。 auditctl -l #查看规则 auditctl -D #清空规则 2、aureport : 查看和生成审计报告的工具。 aureport -l...
Linux中audit日志的使用方法
热门推荐
Han的小站
02-27 5万+
auditd服务的安装: 以CentOS6.5为例,使用下面的方法确认auditd服务的安装情况: yumlist audit audit-libs 确认以下两个package是否安装: audit.x86_64
centos 日志审计_CentOS7下安全审计工具Auditd的简单使用
weixin_30143813的博客
01-17 3671
auditdauditd是Linux审计系统的用户空间组件,它负责将审计记录写入磁盘。查看日志使用ausearch或aureport实用程序完成。使用auditctl实用程序配置审核系统或加载规则。在auditd启动期间,/etc/audit/audit.rules 中的审计规则由auditctl读取并加载到内核中。或者还有一个 augenrules程序,读取/etc/audit/rules.d...
Linux审计服务Auditd systemctl重启问题解决
静宁宇思
08-09 1万+
参照:https://www.linuxidc.com/Linux/2017-06/145316.htm 在RHEL7&&CentOS7时代,默认的服务通过systemd控制,并通过systemctl命令完成启停。但是并不是所有的服务都可以完美的通过systemctl来控制,比如今天要提到的Auditd 编辑audit.rules添加规则后,当然要通过restart服务来重启生效...
CentOS 7 下审计服务安装配置
老实人张大傻
08-24 3033
文章目录Audit 服务安装Audit 启动 && 开机启动配置 Audit 规则记录系统的日期和时间的修改记录用户和组的修改的事件记录网络环境修改时间记录登录和登出事件记录会话启动事件监视对文件权限、属性、所有权和组的更改记录未授权文件访问尝试收集成功挂载磁盘事件收集用户的文件删除事件收集对系统管理范围(sudoers)的更改收集内核模块加载和卸载收集使用特权命令参考 Audit 服务安装 [root@demo ~]# yum -y install audit audit-libs-dev
Auditd - Linux 服务器安全审计工具
闲云孤鹤
02-20 4474
首先,Linux中国祝贺读者 2015羊年春节快乐,万事如意! 。下面开始这个新年版审计工具的介绍。 安全防护是首先要考虑的问题。为了避免别人盗取我们的数据,我们需要时刻关注它。安全防护包括很多东西,审计是其中之一。 我们知道Linux系统上有一个叫 auditd 的审计工具。这个工具在大多数Linux操作系统中是默认安装的。那么auditd 是什么?该如何使用呢?下面我们开始介绍。
记录一次Centos7开启审计Audit,导致会自动关机的问题
ljq354004063的博客
04-20 1641
发现某一台服务器,在获取svn代码时,获取一段时间后,服务器自动关机。 检查日志/var/log/messages 发现其中audit由于磁盘空间不够,导致关机的情况 检查发现: /var/log/audit审计日志占磁盘空间很大,直接删除后,释放了磁盘空间后,即可。 ...
CentOS 7 安全加固、检测、审计
静静是我女朋友
11-07 1万+
RKHunter:检测Rootkit RKHunter 传送门:http://rkhunter.sourceforge.net/ Root Kit 详解:http://linux.vbird.org/linux_security/0420rkhunter.phpRKHunter 安装 [root@linuxprobe ~]# yum --enablerepo=epel -y instal
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值