麒麟v10-ky10.x86_64开启日志审计(audit)

Bohemian—Rhapsody

于 2025-04-16 17:23:12 发布

阅读量832

点赞数 2

CC 4.0 BY-SA版权

文章标签：服务器

本文链接：https://blog.youkuaiyun.com/X_yufei/article/details/147251736

如果系统默认不支持开启audit日志审计的话，我们需要按照如下方式进行设置。
1、备份配置文件 cp -r /etc/default/grub /etc/default/grub.bak
2、修改配置文件 vim /etc/default/grub，按“i”键编辑修改，移除audit=0参数，并保存
在这里插入图片描述
3、重新生成grub配置文件

grub2-mkconfig -o /boot/efi/EFI/kylin/grub.cfg

在这里插入图片描述

4、查看配置文件中是否已修改(检查生成的GRUB配置文件，以确认audit=0参数已被移除)

cat /boot/efi/EFI/kylin/grub.cfg

5、重启服务器

reboot

6、重启之后查看服务启动状态
在这里插入图片描述
7、编辑日志审计规则

vim /etc/audit/rules.d/audit.rules

-w /etc/passwd -p rwxa -k passwd_watch
-a always,exit -F arch=b64 -S chmod -k chmod_watch
-a always,exit -F arch=b64 -S execve -F key=login_events

在这里插入图片描述
8、重启audit服务

systemctl restart auditd

9、查看规则 auditctl -l
在这里插入图片描述
结束！！

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

Bohemian—Rhapsody

关注关注

2
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

audit日志轮训保留180天的日志，按天保存

太极淘的博客

05-30

209

[ -d /sys/firmware/efi ] && echo UEFI || echo BIOS 说明： 1. BIOS -------返回此结果，说明是BIOS方式启动的 2. UEFI -------返回此结果，说明是UEFI方式启动的或者执行lsblk，查看是否有/boot/efi，如果有/boot/efi分区则表示UEFI方式启动，如果没有则表示BIOS方式启动。-r-------- 1 root root 96241 5月 29 19:20 audit.log-20250529。

针对湖南麒麟v3.3版本对接绿盟日志审计无法安装agent解决办法:

热门推荐

qq_30135687的博客

09-14

1万+

本文可以帮助解决syslog和kern.log文件过大的问题，通过设置定时任务，定时备份并清理之前的日志文件，使得磁盘空间不至于过分被日志文件占用。

kylin-v10审计日志缺失问题处理

神奇侠MAKER

11-13

1287

在终端输入stemctl satus auditd命令后回车，发现审计服务的状态不是active状态。银河麒麟系统上的审计服务默认是关闭的，需要手动开启。在审计服务异常或者关闭的状态下，则系统不会产生审计日志。在终端输入reboot命令后回车即可。重启系统后，审计服务即可开启成功。修改该文件里的“audit=0”参数改为“audit=1”后保存退出。如果状态正常，可以进入/var/log/audit目录查看审计日志。#查看服务状态是否 active。

银河麒麟高级服务器操作系统V10SP2（X86）audit服务组件升级、进程彻底关闭介绍

weixin_45754407的博客

05-06

3785

银河麒麟高级服务器操作系统V10SP2（X86）audit服务组件升级、进程彻底关闭介绍

银河麒麟V10 审计工具 auditd 内存泄漏问题

Yang的博客

08-05

1749

银河麒麟V10 审计工具 auditd 内存泄漏问题

ARM麒麟V10 auditctl启动失败处理

checkjiji的博客

11-29

3215

修改配置文件/boot/efi/EFI/kylin/grub.cfg 删除audit=0，或者设置audit=1。业务服务器需要启用审计服务，但是启动审计服务失败，查看状态提示audit=0。重启服务器后验证状态。

麒麟（Kylin V10 SP1）系统auth.log日志重复保存，文件过大问题处理

niuwj666的博客

08-25

2846

9. 重启systemd-journald.service服务，并使用tail -f /var/log/auth.log命令进行实时监控，发现输出的信息不再包含审计日志信息。5. 在Kylin V10 SP1中，发现多了一个systemd-journald-audit.socket文件。3. 使用tail -f /var/log/auth.log命令进行实时监控，发现输出的信息主要是审计日志信息。6. 系统启7动了systemd-journald.service服务后，会记录audit日志。

银河麒麟V10 SP1 审计工具 auditd更新

打不倒的程序猿

07-06

4674

银河麒麟V10 SP1 审计工具 auditd 引发的内存占用过高，内存使用率一直在 60% 以上，内存一直不释放。

麒麟系统配置审计服务提示condition failed

weixin_57466446的博客

06-21

2463

查看内核是否开启，audit=0为没有开启。vim修改audit=1。配置审计服务后启动服务后状态提示condition failed。重新启动系统以应用新的内核启动参数。更新 GRUB 配置。

银河麒麟查看指定时间段的系统日志

weixin_45067242的博客

04-15

3620

在银河麒麟操作系统中，查看指定时间段的系统日志可以通过使用 'journalctl' 命令来实现，该命令是 'systemd' 的日志查看器，提供了多种过滤和查看选项。下面将详细介绍如何使用这个命令来查看特定时间段的日志。

麒麟v10SP2 audit内存占用过高通过升级组件版本解决

qiankunzhenxun的博客

06-21

3752

麒麟v10sp2 audit组件内存占用过高问题的解决

linux 10系统日志

lindan_的博客

10-18

841

系统日志

国产操作系统安装配置auditd审计工具 _ 统信 _ 麒麟 _ 中科方德

鹏大圣运维

07-09

2971

Hello，大家好啊！今天给大家带来一篇在国产桌面操作系统上部署auditd审计工具的文章。auditd是Linux审计系统的核心守护进程，用于记录系统安全相关的事件和日志。部署和配置auditd可以帮助系统管理员监控系统活动，提高系统安全性。本文将详细介绍如何在国产桌面操作系统（如统信UOS、麒麟KOS、中科方德等）上安装和配置auditd。欢迎大家分享转发，点个关注和在看吧！

ky10 server x86 auditd安装（日志审计系统）

zengliguang的专栏

11-25

859

Auditd工具可以帮助运维人员审计Linux，分析发生在系统中的发生的事情。Linux 内核有用日志记录事件的能力，包括记录系统调用和文件访问。管理员可以检查这些日志，确定是否存在安全漏洞（如多次失败的登录尝试，或者用户对系统文件不成功的访问）。

服务器等保测评审计日志功能开启(auditd)和时间校准

weixin_43258559的博客

01-03

2278

腾讯云专业版与基础版：https://cloud.tencent.com/document/product/296/2222。提供日志记录的样例截图，包括记录的日志类型、具体日志记录的内容（是否会记录 "日期、时间、用户、事件类型、事件是否成功）Windows 和Linux 服务器时间校准。云服务器通常有备份，服务器内可不用备份。云上有主机安全或者云安全中心。重新加载审计规则使其生效。

麒麟V10SP1简单入侵痕迹分析

湖南长城科技的博客

04-26

2079

一 SSH登录情况分析 1 wtmp 日志使用 last 命令能够查看 SSH 近期登录成功情况，配合部分参数还能获得更详细的信息，例如登录的时间、IP地址等，通过对这些数据的分析能够知晓是否有异常登录行为： # last # last -x -F 详细参数命令： 2 查看在线用户情况（1）w 命令用于显示已经登陆系统的用户列表，并显示用户正在执行的指令。单独执行w命令会显示所有的用户，您也可指定用户名称，仅显示某位用户的相关信息。（2）who am ...

Linux添加日志审计

小二

10-22

2839

# mkdir -p /var/log/usermonitor/ # echo usermonitor >/var/log/usermonitor/usermonitor.log # chown nobody:nobody /var/log/usermonitor/usermonitor.log # chmod 002 /var/log/usermonitor/usermonitor.log