linux安全管理-日志审计

最新推荐文章于 2025-04-15 15:32:46 发布
最新推荐文章于 2025-04-15 15:32:46 发布
阅读量1k 收藏 2
点赞数 4
分类专栏: linux 文章标签: linux 安全 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/chushudu/article/details/144074330
版权

文章目录

1 启用 cron 行为日志功能

1、检查内容
检查系统是否启用 cron 行为日志功能。
2、配置要求
系统启用 cron 行为日志功能。
3、配置方法
编辑/etc/rsyslog.conf 文件,配置 cron.* /var/log/cron
配置检查方法如下:
grep "^cron.* /var/log/cron" /etc/rsyslog.conf
如果上面没输出内容,则表明没用相关配置,进行如下配置:
cp /etc/rsyslog.conf /etc/rsyslog.conf.bak
echo "cron.* /var/log/cron" >>/etc/rsyslog.conf

2 启用 su 命令使用情况记录

1、检查内容
检查系统是否启用 su 命令使用情况记录。
2、配置要求
系统启用 su 命令使用情况记录。
3、配置方法
编辑/etc/rsyslog.conf 文件,配置 authpriv.* /var/log/secure
配置检查方法如下:
grep "^authpriv.* /var/log/secure" /etc/rsyslog.conf
如果上面没输出内容,则表明没用相关配置,进行如下配置:
cp /etc/rsyslog.conf /etc/rsyslog.conf.bak
echo " authpriv.* /var/log/secure " >>/etc/rsyslog.conf

3 启用 sudo 命令日志功能

1、检查内容
检查系统是否启用 sudo 命令日志功能。
2、配置要求
系统启用 sudo 命令日志功能。
3、配置方法
编辑 etc/sudoers 文件,配置 Defaults logfile=/var/log/sudo.log
配置方法:
echo "Defaults logfile=/var/log/sudo.log" >>/etc/sudoers

4 配置安全事件日志功能

1、检查内容
检查系统是否配置安全事件日志功能。
2、配置要求
系统配置安全事件日志功能。
3、配置方法
编辑 etc/rsyslog.conf 文件,配置*.err;kern.debug;daemon.notice /var/adm/messages
配置方法:
echo "*.err;kern.debug;daemon.notice /var/adm/messages" >>/etc/rsyslog.conf
touch /var/adm/messages

5 配置安全事件日志功能

1、检查内容
检查系统是否配置日志文件权限。
2、配置要求
系统配置日志文件权限。
3、配置方法
配置日志相关文件的权限
/var/log/messages ##600(-rw-------)
/var/log/secure ##600(-rw-------)
/var/log/audit/audit.log ##600(-rw-------)
/var/log/cron ##600(-rw-------)
/var/log/sudo.log ##600(-rw-------)
/var/adm/messages ##600(-rw-------)
文件的权限查看方法:ls -l 文件名,例如:ls -l /var/log/cron
权限修改方法:chmod 权限值 文件名或目录名,例如:chmod 600 /var/log/cron
配置举例如下:
chmod 600 /var/log/messages
chmod 600 /var/log/secure
chmod 600 /var/log/audit/audit.log
chmod 600 /var/log/cron
chmod 600 /var/log/sudo.log
chmod 600 /var/adm/messages

6 启动日志和审记服务

1、检查内容
检查系统是否启动日志和审记服务。
2、配置要求
系统启动日志和审记服务。
3、配置方法
重启 rsyslog 日志服务和 auditd 审计服务,命令如下:
service rsyslog restart
service auditd restart
查看服务运行状态命令如下:
systemctl status rsyslog
systemctl status auditd
《网络安全自学教程》- Linux日志详解
wangyuxiang946的博客
04-26 1万+
这篇文章给大家介绍Linux用来做安全审计日志有哪些,解析日志字段含义。
安全设备-日志审计-日志采集
qq_56248592的博客
11-27 1961
日志审计中的WEB上找到【系统】-【插件中心】中,下载 windows agent(兼容 32 位和 64 位操作系统)客户端程序,进行安装。进入编辑/添加资产界面,填写‘资产名称’‘资产 IP’项,点击‘启动 WMI’项,显示 WMI 配置。在【资产】-【资产列表】中列表右侧可以看到已采日志数,点击【资产列表】右侧『查看事件』查。添加资产,在【资产】->【资产列表】处新建资产,将被采集的设备,添加到资产列表;注意:日志解析需要先添加资产,资产添加完成后,解析规则生效。完成配置 WMI 操作。
Linux操作系统之安全审计功能-Audit
10-10
Kylin Linux Advanced Server release V10 (Tercel)以RPM包方式安装Auditd,开启审计功能。
Linux-服务器添加审计日志功能
最新发布
xiaozhidepikaqiu的博客
04-15 1138
在 /etc/audit/rules.d/audit.rules 里面配置规则。#修改/etc/default/grub里面audit=0 改为audit=1。#查看audit软件是否在运行(状态为active而且为绿色表示已经在运行)#如果没有在运行的话,查看是否被系统禁用 (audit为0表示被禁用)#审计日志默认存储在/var/log/audit/audit.log中。success:操作是否成功(yes/no)。# 按事件类型过滤(如查看所有文件访问事件)
Linux日志审计
05-17 5281
Linux日志审计 常用命令 find、grep 、egrep、awk、sed Linux 中常见日志以及位置 位置 名称 /var/log/cron 记录了系统定时任务相关的日志 /var/log/auth.log 记录验证和授权方面的信息 /var/log/secure 同上,只是系统不同 /var/log/btmp 登录失败记录 使用lastb命令查看 /var/log/wtmp 登录失成功记录 使用last命令查看 /var/log/lastlog 最后一次登录
Linux 配置用户命令日志审计功能
浪屋剑客
11-21 9050
目的:监控登陆上linux 系统服务器的用户,所使用过的命令。 采用以下步骤配置用户命令日志审计功能: 1.创建用户审计文件存放目录和审计日志文件 ;  mkdir -p /var/log/usermonitor/ 2.创建用户审计日志文件; echo usermonitor >/var/log/usermonitor/usermonitor.log 3.将日志文件所有者赋予一
Linux开启审计操作日记(history格式)
Fadess的博客
07-27 1734
history配置、Linux操作日记配置、Linux记录操作日志
LINUX日志审计
2302_77424749的博客
05-06 1348
5.在状态码前面可查看该账户访问过的文件夹,状态码后面可查看该账户所使用的浏览器客户端页面的来源地址以及浏览器类型和版本号等信息以便溯源。5.btmp日志:记录了登录失败的登录信息,需要使用 lastb 进行查看。1.首先可看登录次数较多的IP地址以及账号,查看非本地IP地址或者异常IP,是否有尝试破解登录等操作。3.utmp日志:记录了当前正在登录的系统的信息,需要使用 who 命令或者 w 命令。4.wtmp日志:记录了当前和历史登录的用户信息,需要使用 last 命令进行查看。
Linux安全基线-audit审计规则配置7小项(CentOS8)
bigwood99的博客
09-30 1705
监视与文件和文件属性的删除或重命名关联的系统调用的使用。此配置语句设置对unlink(删除文件),unlinkat(删除文件属性),rename(重命名文件)和renameat(重命名文件属性)系统调用的监视,并使用标识符“delete”对其进行标记。以下参数监视sethostname(设置系统主机名)或setdomainname(设置系统域名)系统调用,并在系统调用出口上写入审核事件。并且将审核记录写入文件/var/log/audit.log,并用标识符“ time-change”标记记录。
Linux运维-04-日志分析-日志监控ELK-day03-生产案例及G
11-02
在IT行业中,日志分析是运维工作中的重要环节,它能帮助我们监控系统状态、定位问题、优化性能以及实现安全审计。"Linux运维-04-日志分析-日志监控ELK-day03-生产案例及Git版本控制"这个主题深入探讨了如何使用ELK...
「业务风控」漫谈JSRC安全应急响应 - 日志审计.zip
11-24
「业务风控」漫谈JSRC安全应急响应 - 日志审计 勒索病毒 安全活动 云安全 web安全 WEB应用防火墙
linux进程退出开启日志审计及nessus扫描日志审计
08-27
linux进程退出、启动syslog日志进行了审计、对nessus扫描操作系统产生的日志进行审计
Linux audit 日志审计服务安装及使用
01-12
Linux auditd 工具可以将审计记录写入日志文件。包括记录系统调用和文件访问。管理员可以检查这些日志,确定是否存在安全漏洞。
Linux笔记之审计日志
K
11-19 1291
Linux 系统的审计守护进程,可记录系统调用、文件访问、权限变更等事件,以满足安全和合规要求。Linux 系统通过审计日志管理来跟踪用户活动、系统事件和安全问题。审计日志管理为系统安全提供了重要保障,管理员应根据实际需求配置合适的规则与策略。系统日志记录系统运行状态、应用程序事件和安全信息,通常存储在。进行安全审计,以及如何配置和监控系统日志安全日志。是用于日志文件管理的工具,支持自动轮转、压缩和清理。审计规则定义哪些事件需要记录,通常通过。是常用的日志守护进程,配置文件位于。
Linux用户日志审计系统
2301_82262225的博客
05-06 496
将提前编辑好的shell脚本复制粘贴,保存退出。测试环境:CentOS Stream 9。重新开设一个窗口,登入lgb用户,退出。测试开始前,首先我们先建立一个用户。我们通过vim编辑器,打开。目录下的所有文件和子目录。重新切换到root用户,
linux脚本开启审计日志,Linux系统审计脚本
weixin_39556590的博客
05-02 640
Linux系统审计脚本》由会员分享,可在线阅读,更多相关《Linux系统审计脚本(4页珍藏版)》请在人人文库网上搜索。1、Linux系统审计脚本分类:Linux 2011-03-04 14:28 2407 人阅读评论(0)收藏举报 Iinuxoracledb2filedateblog这个系统审计,就是在系统级别,记录什么用户,在什么时间,做了什 么操作。然后将查到的信息记录到一个文件里。一.审计...
Linux日志巡检之日常操作及安全审计
企业实战系列集 ●●● https://ximenjianxue.blog.youkuaiyun.com
04-21 9416
一、背景 本文专门针对Linux系统运维当中相关日志,总结概述经常要执行的操作,以备参考辅助。 二、常见日志 /var/log/message 系统启动后的信息和错误日志,是Red Hat Linux中最常用的日志之一,一般系统整体运行信息都会记录在该日志里,其中也包含系统启动期间的日志。此外,mail,cron,daemon,kern和auth等内容也会记录在var/log/messages日志中。 /var/log/daemon.log:记录包含各种系统后台守护进程日志信息 /var/log/maill
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值