Linux审计工具auditd使用与日志收集

最新推荐文章于 2025-10-13 05:00:00 发布
原创 最新推荐文章于 2025-10-13 05:00:00 发布 · 2.4w 阅读 · 54 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #运维 #审计 #auditd #大数据

本文介绍Linux下的Auditd审计工具,涵盖其安装、配置及常用命令的使用方法。详细解析如何通过Auditd监控系统活动,保障系统安全。

0 概述

Auditd工具可以帮助运维人员审计Linux,分析发生在系统中的发生的事情。Linux 内核有用日志记录事件的能力,包括记录系统调用和文件访问。管理员可以检查这些日志,确定是否存在安全漏洞(如多次失败的登录尝试,或者用户对系统文件不成功的访问)。

1 安装

Centos7默认已安装Audit
在这里插入图片描述
使用命令service auditd status可查看该服务是否开启
在这里插入图片描述

2 配置文件

在/etc/audit路径下
在这里插入图片描述
auditd.conf文件 ----审计工具的配置文件
audit.rules文件 ----审计的规则,该文件由/etc/audit/rules.d产生
audit-stop.rules文件 ----审计停止规则,该文件定义了停止检测
rules.d目录 ----定义需要审计的规则,写到文件之后会永久有效

如下是auditd.conf,审计工具配置文件。在该文件中,用中文增加了对应的参数值解释。详细解释,可查阅官方解释:https://linux.die.net/man/8/auditd.conf
在这里插入图片描述

3 auditd工具

 auditctl:auditd默认操作命令
 aureport:生成和查看审计规则的文件
 ausearch:是一个搜索各种事件的工具
 autrce:用于跟踪进程的命令

3.1 auditctl命令

auditctl –l 查看当前定义的规则

auditctl –a 添加一条检测规则(当前添加的规则临时有效,永久生效需要修改配置文件)

auditctl -a action,filter -S system_call -F field=value -k key_name

action和filter 明确一个事件被记录。action可以为always或者never,filter明确出对应的匹配过滤,filter可以为:task、exit、user、exclude。
system_call 明确出系统调用的名字,几个系统调用可以写在一个规则里,如-S xxx -S xxx。系统调用的名字可以在/usr/include/asm/unistd_64.h文件中找到。其中字段中具体解释,参考: https://blog.youkuaiyun.com/xiyangfan/article/details/5259258
field=value 作为附加选项,修改规则以匹配特定架构、GroupID,ProcessID等的事件。具体有哪些字段,可以参考https://linux.die.net/man/8/auditctl
如:一个文件被user ID为1000或者更大的用户删除,或重命名,记录审计,命令如下:

auditctl -a always,exit -S unlink -S unlinkat -S rename -S renameat -F auid>=1000 -F auid!=4294967295 -k delete

auditctl -a always,exit -F path=/etc/shadow -F perm=wa

等价于 auditctl –w /etc/shadow –p wa

auditctl –d 删除一条规则

auditctl –D 删除所有规则
<
最低0.47元/天 解锁文章
学习Linux审计守护工具auditd
ReaF_star的博客
03-03 2208
auditd 一个linux重要组件, 主要用于监控系统调用和文件访问。通过配置审计规则,可以用来记录文件访问、登录尝试、权限更改等操作,能够帮管理员追踪系统的安全时间和异常行为。
auditd.conf的详细参数说明
狂客队长
07-17 3721
``` # 本地的事件是否记录,设置为no的场景应该是只作为远程日志收集的服务器,但自身的日志大多数时候也是有必要记录的 local_events = yes # 日志是否落盘,设置为no的场景应该是将会把日志存储到远程服务器的客户端(没有足够空间的情况下) write_logs = yes # 日志记录的文件 log_file = /var/log/audit/audit.log # 日志文件默认所属的组 log_group = adm # 日志的格式,一般设置为RAW即可 log_f
auditd——Linux 系统的内核级审计工具
最新发布
bjzhang75的博客
10-13 723
auditd——Linux 系统的内核级审计工具
audit安装配置及使用
weixin_45630387的博客
04-14 3478
官网链接:https://access.redhat.com/documentation/zh-cn/red_hat_enterprise_linux/7/html/security_guide/chap-system_auditing。
Linux:安全审计功能的实现——audit详解
hhd1988的专栏
07-15 5766
安全审计功能的实现——audit详解
Linux安全审计命令
abg49988的博客
09-23 238
安全审计 数据分析 capinfos xxx.pcap 产看数据包基本信息 日志分析 who /var/log/wtmp #查看登录用户信息 哈希校验 sha265 文件名 md5sum 文件名 > hash.txt 然后把hash.txt源文件放在一个文件夹 md5sum -c hash.txt ...
Linux开启审计操作日记(history格式)
Fadess的博客
07-27 1880
history配置、Linux操作日记配置、Linux记录操作日志
Linux 审计日志安全工具 auditdLinux 审计守护进程
02-18 1485
在现代的 Linux 系统中,审计日志的安全性对于跟踪系统活动、检测安全漏洞、进行故障排查以及满足合规要求至关重要。`auditd`(Audit Daemon)是 Linux 系统中一个强大的工具,它通过记录系统活动日志,帮助管理员进行全面的安全审计和事件监控。本文将详细介绍 `auditd`,并阐述其如何帮助提高系统的安全性。
Linux audit 日志审计服务安装及使用
01-12
Linux audit 日志审计服务安装及使用 Linux audit 是一种强大的日志审计服务,可以将审计记录写入日志文件,包括记录系统调用和文件访问。管理员可以检查这些日志,确定是否存在安全漏洞。本文将详细介绍 Linux ...
auditd-Linux操作系统审计工具简介
地球空间
12-11 2196
auditdLinux审计系统的用户空间组件,负责将审计记录写入磁盘。它可以帮助运维人员审计Linux系统,分析发生在系统中的事件。Linux内核具有记录事件的能力,包括系统调用和文件访问,auditd则负责将这些日志记录下来,以供管理员检查是否存在安全漏洞。
SELinux auditd日志系统的安装启动
Linux脚本程序包及安装方法(以webmin安装为例)详解
02-06 833
当查看特定安全上下文的策略规则时,SELinux使用被称为 AVC(Access Vector Cache,访问矢量缓存)的缓存,如果访问被拒绝(也被称为 AVC 拒绝),则会在一个日志文件中记录下拒绝消息。 这些被拒绝的消息可以帮助诊断和解决常规的 SELinux 策略违规行为,至于这些拒绝消息到底被记录在什么位置,则取决于 auditd 和 rsyslogd 守护进程的状态: 若...
linux进程退出开启日志审计及nessus扫描日志审计
08-27
linux进程退出、启动syslog日志进行了审计、对nessus扫描操作系统产生的日志进行审计
Auditd的常见的配置场景和审计日志查看方法
weixin_46356409的博客
11-26 2838
通过配置auditd,可以监控和记录系统中的各种安全相关事件。常见的配置场景包括文件和目录访问审计、用户登录和注销审计、系统调用审计以及用户命令审计审计日志通常存储在文件中,可以使用ausearch和aureport工具查看和分析审计日志。为了确保审计规则在系统重启后仍然有效,可以将规则写入目录下的配置文件中,并重启auditd服务以应用新的规则。
linux服务——auditd
热门推荐
updba的专栏
03-24 1万+
审计(audit)是linux安全体系的重要组成部分,他是一种“被动”的防御体系。 在内核里有内核审计模块,核外有核外的审计后台进程auditd。 应用程序给内核发送审计消息,内核的审计模块再把消息转发给用户空间的后台进程auditd处理。 大概就是这么回事,我不是太深入,如果需要更多的内容,自己去查阅相关资料。如果没有好的资料,我推荐一本,《linux安全体系分析编程》作者倪继利 。
服务器等保测评审计日志功能开启(auditd)和时间校准
weixin_43258559的博客
01-03 2942
腾讯云专业版基础版:https://cloud.tencent.com/document/product/296/2222。提供日志记录的样例截图,包括记录的日志类型、具体日志记录的内容(是否会记录 "日期、时间、用户、事件类型、事件是否成功)Windows 和Linux 服务器时间校准。云服务器通常有备份,服务器内可不用备份。云上有主机安全 或者云安全中心。重新加载审计规则使其生效。
Linux auditd.conf详解
ddd123789999的博客
11-01 3296
研究audit日志规则,本文为进程配置。 审计日志文件的完整路径。如果您配置守护进程向除默认/var/log/audit/外的目录中写日志文件时, 一定要修改它上面的文件权限,使得只有根用户有读、写和执行权限。所有其他用户都不能访问这个 目录或这个目录中的日志文件。 log_file =/var/log/audit/audit.log 写日志时要使用的格式。当设置为RAW时,数据会以从内核中检索到...
SELinux auditd日志系统
haohaoxuexiyai的博客
02-21 2553
目录SELinux auditd日志系统的安装启动SELinux auditd日志使用方法audit2why命令audit2allow命令sealert命令 SELinux auditd日志系统的安装启动 当查看特定安全上下文的策略规则时,SELinux使用被称为 AVC(Access Vector Cache,访问矢量缓存)的缓存,如果访问被拒绝(也被称为 AVC 拒绝),则会在一个日志文件中记录下拒绝消息。 这些被拒绝的消息可以帮助诊断和解决常规的 SELinux 策略违规行为,至于这些拒绝消息
linux审计用户命令
todaygood2004的专栏
07-09 796
kb_linux_audit_user_command.txt http://rickie622.blog.163.com/blog/static/212388112014226101625488/ 推荐使用第一种方法,如下 jun:/var/log # cat /etc/profile.local   HISTSIZE=1000 HISTTIMEFORMAT="%D
linux 安全审计功能,Linux安全审计命令
weixin_32557421的博客
05-15 382
安全审计数据分析capinfos xxx.pcap 产看数据包基本信息日志分析who /var/log/wtmp #查看登录用户信息哈希校验sha265 文件名md5sum 文件名 > hash.txt 然后把hash.txt源文件放在一个文件夹md5sum -c hash.txt #将hash.txt中的hash值源文件对比常用安全命令# 使用 uid 查找对...
使用Ansible配置Linux Auditd审计工具指南
根据文件标题,我们将关注点放在Linux系统中的auditd服务的设置和配置上,同时考虑到ansible作为一个自动化部署工具的应用场景。以下是对标题、描述、标签以及文件名称列表中所蕴含的知识点的详细解读: ### 标题...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值