linux Audit 介绍【架构篇】

最新推荐文章于 2025-08-14 11:47:03 发布
转载 最新推荐文章于 2025-08-14 11:47:03 发布 · 1.3k 阅读 · 0

本文介绍了 Linux Audit 日志系统的组成及其工作原理。包括 audit 内核模块如何监听系统调用并记录有价值的事件,auditd 守护进程如何将这些记录写入磁盘文件 /var/log/audit/audit.log,以及 aureport 和 ausearch 等命令行工具如何帮助用户分析这些日志。
Linux audit的作用:帮助你了解,分析发生在你系统中的事情。
Linux 的组成:
  • audit 内核模块----->监听系统调用,记录有价值事件
  • audit daemon【auditd】----->把记录事件写入磁盘【/var/log/audit/audit.log】
  • audit 命令行工具【aureport,ausearch等】------>帮助分析audit 日志

Linux:安全审计功能的实现——audit详解
hhd1988的专栏
07-15 5766
安全审计功能的实现——audit详解
深入了解Linux审计子系统(一)--概述
宁静致远
04-28 872
Linux平台的审计系统对于普通用户来说可能比较陌生,但对于从事信息安全或系统安全的人来说是很重要的,它就像一套监控系统一样,可以记录下操作系统的每一个过程,例如用户的操作,文件的修改,系统的启动和异常以及网络活动等,这些记录都可以让你知道系统发生过什么,可以进一步了解系统安全漏洞所在,是提高系统安全性的有效支持。 审计子系统产生的背景 在早期的Linux操作系统只有syslo...
【安全】linux audit审计使用入门
最新发布
2401_84205765的博客
08-14 723
本文介绍Linux内核审计机制audit的工作原理及应用。audit包含内核空间和用户空间组件,通过auditctl配置审计规则,内核kauditd记录事件,用户态auditd获取日志。文章详细解析了auditctl的使用方法、配置参数和审计规则类型,并通过监控execve系统调用和tail命令的实例说明日志分析过程。同时阐述了audit的独占性特点及内核维护的多条规则链表结构,最后指出audit存在的内核版本依赖、日志缓存队列过载及容器环境差异等问题。该机制主要用于安全审计场景,通过日志分析发现异常行为
linux audit(安全审计功能)
underzerotem的博客
05-07 1530
今天系统中遇到rc.local被人删除掉的问题,从同事那里得知一工具可以监控文件被删除或修改是被谁和哪条指令修改的,就是audit,总结了一下,尤其是注意事项,希望后续可以省掉一些问题定位时间。 Linux安全审计功能 audit详解 动机 我们知道在Linux系统中有大量的日志文件可以用于查看应用程序的各种信息,但是对于用户的操作行为(如某用户修改删除了某文件)却无法通过这些日志文件来查看,...
Linux 用户空间审计工具 audit
热门推荐
Vic的博客
05-21 1万+
前言Linux auditd 工具可以将审计记录写入日志文件。包括记录系统调用和文件访问。管理员可以检查这些日志,确定是否存在安全漏洞。本文首先介绍用户空间审计系统的结构,然后介绍主要的 audit 工具的使用方法。Linux 用户空间审计系统简介Linux 内核有用日志记录事件的能力,包括记录系统调用和文件访问。管理员可以检查这些日志,确定是否存在安全漏洞(如多次失败的登录尝试,或者用户对系统文...
linux audit原理 内核,Linux安全审计机制模块总体描述
weixin_42378289的博客
05-04 1139
原标题:Linux安全审计机制模块总体描述1总体描述1.1概述审计是事后认定违反安全规则的分析技术,安全审计为管理员在用户违反安全法则时提供及时的警告信息,实现对系统信息的追踪、审查、统计和报告等功能[1]。linux提供了用来记录系统安全事件的审计系统,审计系统包括用户空间审计系统和内核空间审计系统,用户空间审计系统由一些用户空间的审计程序组成,用来开启内核审计功能、设置审计规则和审计系统状态、...
linux audit原理,Wauzh原理简析及audit规则风险评估
weixin_39646412的博客
05-13 1076
HIDS基本原理熟悉HIDS的朋友应该了解,服务器的shell监控一般有两种,一种依靠Linuxaudit审计功能,比如Wazuh,一种是重编译和替换bash二进制文件,将shell上执行的命令实时通过socket传递到服务端。前一种方法优点是记录完整,缺点是会产生大量的日志,以及audit.rules配置失误的话导致服务器宕机。后一种方式虽然日志简洁,但如果通过命令远程执行漏洞不走服务器的sh...
linux audit 源码分析,audit初探
weixin_30746095的博客
05-12 1085
0×00:最近工作中学习了一个比较实用的系统服务:audit。下面进行一些使用介绍auditLinux audit Subsystem 的简称。这一服务的主要作用是记录系统调用和文件访问。auditd 是audit 系统的守护进程,作用是将audit 记录的信息写到磁盘上。合理配置audit 日志审计规则,对安全运维大有帮助。当系统被入侵后,可以通过查看audit.log 追根溯源,找到系统...
ARM64架构(aarch64)MySQL8 审计插件 - audit-log.so
11-27
install plugin audit_log soname 'audit_log.so'; show variables LIKE 'audit%';
Linux audit 安全审计干货
qq_40795955的博客
05-13 2740
目录简介一丶审计规则(Auditctl 和 audit.rules)二丶配置文件(auditd.conf)三丶报告工具(aureport)四丶事件查找(ausearch) 简介 简单来说,修改两个配置文件(/etc/audit/audit.rules 和/etc/audit/auditd.conf ),然后通过aureport和ausearch生成和分析数据。要使用安全审计系统可采用下面的步骤:内核选项勾选和安装软件包(上文章已介绍)。添加审计规则,修改配置文件,然后启用 audit 守护进程进行日志记
GNU/Linux audit英文文档
04-13
此文档是由SUSE编写的关于GNU/Linux audit的英文文档。audit的入门级必看资料。
精选资源
audit-plugin-mysql-5.7-1.1.11-985-linux-x86_64
04-09
这个名为 "audit-plugin-mysql-5.7-1.1.11-985-linux-x86_64" 的压缩包包含了一个针对 MySQL 5.7 版本的审计解决方案,特别设计用来记录和分析数据库的各种操作,如查询、登录尝试、权限变更等。 审计插件的主要...
Linux安全之auditd审计工具使用说明
Innocence_0的博客
02-27 6927
audited是Linux审核系统的用户空间组件。它负责将审核记录写入磁盘。查看日志是通过ausearch或aureport实用程序完成的。审核系统或加载规则的配置是使用auditctl实用程序完成的。在启动过程中,/etc/audit/audit.rules中的规则由auditctl读取并加载到内核中。另外,还有一个augenrules程序,它读取/etc/audit/rules.d/中的规则,并将它们编译为audit.rules文件。
linux audit
weixin_34301132的博客
03-20 189
linuxaudit 服務(转载) Linuxaudit (in Redhat, Suse) 服務是什麼?以前我也不會去注意,直到有一天系統 crash,不知道為什麼,打開 Monitor,只出現一堆這樣的訊息: audit: audit_backlog=326 > audit_backlog_limit=320 audit...
Linux-audit
feiyu5323的专栏
06-19 2014
导航 (返回顶部) 1. Audit_framework原文翻译 1.1 添加规则 1.2 搜索日志 1.3 寻找异常 1.4 哪些文件或系统调用值得审核? 2. man auditctl 译文 2.1 CONFIGURATION OPTIONS 2.2 STATUS OPTIONS 2.3 RULE OPTIONS 2.4 PERFORMANCE TIPS 性能提示 2....
Linux系统之audit
bingshanzhu的专栏
04-29 2188
Linux 提供了用来记录系统安全信息的审计系统,使用 audit 系统可以在应用程序执行期间获取比如发生错误的时间,哪个文件导致错误以及原因,什么进程导致了错误等等信息。 用户空间审计系统 Linux内核拥有包括记录系统调用和文件访问等的日志记录事件的能力,管理员可以检查这些日志,确定是否存在安全漏洞,比如多次失败的登录尝试,或者用户对系统文件不成功的访问等。 1、Linux 内核中的几种系统调...
Linux内核架构与原理深度解析
本文将围绕标题、描述以及相关标签“Linux内核图解”展开详细说明,旨在全面介绍Linux内核的核心知识点。 ### 一、Linux内核概述 Linux内核最初由芬兰程序员林纳斯·托瓦兹(Linus Torvalds)于1991年开发,并在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值