audit审计

原创 已于 2025-05-07 12:03:59 修改 · 978 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#audit #审计

于 2025-04-23 17:52:21 首次发布

audit审计

安装audit

参考: https://blog.youkuaiyun.com/u010039418/article/details/85091142

# 检查系统是否安装了audit服务
rpm -aq | grep audit
rpm -ql audit

在这里插入图片描述

# rhel
dnf install -y audit

# debian
## audispd-plugins提供了 一些插件和规则
sudo apt install -y auditd audispd-plugins

auditd程序

auditd程序解释
auditctl即时控制审计守护进程的行为的工具,比如如添加规则等等
aureport查看和生成审计报告的工具
ausearch查找审计事件的工具
auditspd转发事件通知给其他应用程序,而不是写入到审计日志文件中
autrace一个用于跟踪进程的命令

配置文件

配置文件功能作用
/etc/audit/auditd.confauditd工具的配置文件
/etc/audit/rules.d/audit.rules包含审核规则的文件
/etc/audit/audit.rules记录审计规则的文件

配置审计服务

审计守护进程可以在/etc/audit/auditd.conf

配置文件中进行配置。此文件包含修改审核守护进程行为的配置参数。任何空行或#后面的文本都将被忽略

默认情况下审计规则是空的

# 查看规则
auditctl -l

# 查看命令帮助
auditctl -h


配置auditd capp 环境

默认auditd配置应该适用于多数环境。但是,如果您的环境必须满足受控访问保护配置文件(CAPP)设置的标准

  • 保存审核日志文件的目录(通常为/var/log/audit)驻留在单独的分区上。这可以防止其他进程占用此目录中的空间,并为审计守护进程提供对剩余空间的准确检测
  • max_log_file参数指定单个审计日志文件的最大大小,必须设置为充分利用保存审计日志文件的分区上的的可用空间
  • max_log_file_action参数一旦max_log_file达到设置时采取的操作,应设置keep_logs为防止审计日志文件被覆盖

默认情况下审计规则是空的

# 查看规则
auditctl -l

# 查看命令帮助
auditctl -h

定义审计规则

审计系统根据一组审计规则运行,这些规则定义了日志文件中捕获的内容,可以指定三种类型的审计规则

  1. 控制规则–允许修改审计系统的行为以及某些配置
  2. 文件系统规则-也称为文件监视,允许审计对特定文件或目录的访问
  3. 系统调用规则–允许记录任何指定程序进行的系统调用

可以使用auditctl程序在命令行指定审计规则(请注意,这些规则在重新启动后不会持久),或写入/etc/audit/audit.rules文件

# 创建审计规则文件
touch /etc/audit/rules.d/10-root-commands.rules

配置审计规则内容如下

# 审计规则:针对 64 位架构,监控以 root 身份执行的命令
## -a always,exit: 添加一条审计规则,始终生效并在系统调用退出时触发
## -F arch=b64: 仅适用于 64 位架构
## -S execve: 监控 `execve` 系统调用(用于执行程序)
## -F euid=0: 仅审计有效用户 ID 为 0(即 root 用户)的进程
## -k root-commands: 将审计事件标记为 `root-commands`,便于后续查询
-a always,exit -F arch=b64 -S execve -F euid=0 -k root-commands

# 审计规则:针对 32 位架构,监控以 root 身份执行的命令
## -a always,exit: 添加一条审计规则,始终生效并在系统调用退出时触发
## -F arch=b32: 仅适用于 32 位架构
## -S execve: 监控 `execve` 系统调用(用于执行程序)
## -F euid=0: 仅审计有效用户 ID 为 0(即 root 用户)的进程
## -k root-commands: 将审计事件标记为 `root-commands`,便于后续查询
-a always,exit -F arch=b32 -S execve -F euid=0 -k root-commands

创建一条kill命令的审计规则

# 创建一条审计规则
## 始终记录64位架构上的kill系统调用尝试,无论成功与否,事件都会被标记为 kill_signals
## -a exit,always: auditctl 在每次系统调用退出时总是触发审计事件
## -F arch=b64: 指定要监控的64位系统架构
## -S kill: 指定监控的系统调用类型为 kill
## -k kill_signals: 将事件标记为kill_signals(可以指定为任意字符串)
auditctl -a exit,always -F arch=b64 -S kill -k kill_signals

auditd磁盘空间不足配置

参考:https://blog.youkuaiyun.com/u012085379/article/details/50973245

auditd服务会向/var/log/audit/目录中写入大量审计日志,如果配置不当,值配置为halt,会导致auditd服务磁盘空间不足时自动触发系统宕机

auditd配置文件/etc/audit/auditd.conf

修改在磁盘空间不足时,auditd的动作参数space_left_actionadmin_space_left_actiondisk_full_action的值。

推荐修改为SUSPEND,表示磁盘空间不足时auditd停止写入审计日志。

space_left = 75 space_left_action = SUSPEND admin_space_left = 50 admin_space_left_action = SUSPEND disk_full_action = SUSPEND

使用auditctl应用程序定义审计规则

与审计服务和审计日志文件交互的所有命令都需要root权限。确保以root用户执行这些命令

auditctl命令允许您控制审计系统的基本功能并决定记录哪些事件的规则


定义控制规则

以下是一些允许您修改审计系统行为的控制规则

# -b 设置内核中现有审计缓存区的最大数值
auditctl -b 8192
  • -f 该选项允许确定希望内核如何处理关键错误,有0,1,2三个值,0是不输出日志,1位输出printk日志,2会大量输出日志信息。默认值位1
# -f  该选项允许确定希望内核如何处理关键错误
auditctl -f 2

重载规则

# 重载规则
sudo augenrules --load

# 验证规则是否已加载
sudo auditctl -l

审计

# 审计
sudo ausearch -k root-commands

# 只看命令执行记录
sudo ausearch -k root-commands|grep argc

# 查看最近10分钟的
sudo ausearch -k root-commands -ts recent

# 查看今天的
sudo ausearch -k root-commands -ts today

## -i 格式化输出,更易读
sudo ausearch -k root-commands -i

# 向history一样只显示命令
ausearch -k root-commands -i | grep 'proctitle='
Linux安全基线-audit审计规则配置7小项(CentOS8)
bigwood99的博客
09-30 1828
监视与文件和文件属性的删除或重命名关联的系统调用的使用。此配置语句设置对unlink(删除文件),unlinkat(删除文件属性),rename(重命名文件)和renameat(重命名文件属性)系统调用的监视,并使用标识符“delete”对其进行标记。以下参数监视sethostname(设置系统主机名)或setdomainname(设置系统域名)系统调用,并在系统调用出口上写入审核事件。并且将审核记录写入文件/var/log/audit.log,并用标识符“ time-change”标记记录。
audit审计规则配置方法
热门推荐
bigwood99的博客
09-06 2万+
1.概述 Linux提供了一个审计服务auditd。 默认情况下,开启这个服务只记录较少的资料。 这可能不满足大多数人的需要。但是如果开启全部记录,对于生产环境,可能负载过重,导致影响正常的服务。因此,根据实际需要进行配置是必须的。 Linux系统提供了一些配置的例子可以参考。 /usr/share/doc/audit-2.4.5 audit规则可以使用auditctl命令或配置规则文件来实现。 auditctl命令可以立即生效,但是重启服务会丢失配置规则。 使用配置文件配置,需...
audit审计超详细介绍,常见审计规则示例,与syslog、secure对比
ayychiguoguo的博客
07-25 5161
Audit审计)在Linux系统中,特别是CentOS中,是一个用于监控和记录系统上各种操作的技术手段。Audit的主要功能是为系统管理员提供一个跟踪系统上与安全相关信息的方法。根据预配置规则Audit会生成日志条目,以尽可能多地记录系统上所发生的事件的相关信息。① Audit主要由以下几个部分组成:auditd:Audit守护进程负责把内核产生的信息写入到硬盘上,这些信息由应用程序和系统活动触发产生。
Linux audit 安全审计干货
qq_40795955的博客
05-13 2733
目录简介一丶审计规则Auditctl 和 audit.rules)二丶配置文件(auditd.conf)三丶报告工具(aureport)四丶事件查找(ausearch) 简介 简单来说,修改两个配置文件(/etc/audit/audit.rules 和/etc/audit/auditd.conf ),然后通过aureport和ausearch生成和分析数据。要使用安全审计系统可采用下面的步骤:内核选项勾选和安装软件包(上篇文章已介绍)。添加审计规则,修改配置文件,然后启用 audit 守护进程进行日志记
【操作系统】安全审计-audit_linux audit,关于网络优化你必须要知道的重点
m0_61330806的博客
04-09 1524
5.num_logs:max_log_file_action:如果没有设置num_logs值,它就默认为0,意味着从来不循环日志文件。如果达到这个水平,则会采取admin_space_left_ action所指定的动作。10.admin_space_left_action:当自由磁盘空间量达到admin_space_left指定的值时,则采取动作。7.3如果设置为 EMAIL,则从action_mail_acct向这个地址发送一封电子邮件,并向/var/log/messages中写一条警告消息。
audit.rules
weixin_33853827的博客
09-29 233
为防止audit在不同系统上的不同,还是介绍下环境 centos 6.3 x64 直奔主题,审计系统是什么、重要性略!   audit是linux内核的特性,可以通过内核参数audit=1来启用。   /etc/audit/audit.rulesaudit规则文件,本文主要讲述如何利用audit来监视系统重要资源。   一、监控文件系统行为(依靠文件、目录的权限属性来识别) 规...
linux审计功能及规则audit.rule)
winnieFighting
11-28 5202
在 /etc/audit/rules.d/audit.rules文件中,我们可以设置相应的规则,也就是我们具体要监控哪些操作,哪些文件,当这些文件有一些读写修改的操作的时,在/var/log/audit/audit.log 中记录下来这些操作,这样我们就可以在audit.log 查看操作记录了。备注:当使用 auditctl -l 查看规则的时候,如果提示 no rules的时候,需要先执行 auditctl -R /etc/audit/rules.d/audit.rules 加载规则文件。
精选资源
mysql8.0安装server-audit审计
07-26
mysql8.0安装server-audit审计
银河麒麟V10操作系统设置audit审计日志.docx
06-05
内容概要:本文档详细介绍了银河麒麟V10操作系统中audit审计日志的设置方法。首先检查并确保auditd服务正常开启,若发现/proc/cmdline中audit=0,则需要修改/etc/default/grub文件并将audit设为1,然后更新grub配置...
ORACLE AUDIT 审计
2301_76957510的博客
03-21 2611
审计Audit)用于监视用户所执行的数据库操作,并且Oracle会将审计跟踪结果存放到OS文件(默认位置为$ORACLE_BASE/admin/$ORACLE_SID/adump/)或数据库(存储在system表空间中的SYS.AUD$表中,可通过视图dba_audit_trail查看)中。在Oracle11g之前,oracle数据库自带的审计功能是关闭的,考虑到性能和审计管理的复杂性,用户一般不打开审计功能.如果有审计要求,DBA会采用trigger来实现对DDL审计的方法来折中.例如 ...
mysql审计audit插件_MySQL5.7 (审计)安装audit审计插件
weixin_42518930的博客
01-19 929
安装插件的方式优缺点:缺点:日志信息比较大,对性能影响大。优点:对每一时刻每一用户的操作都有记录。搭建过程:到网站(https://bintray.com/version/files/mcafee/mysql-audit-plugin/release/1.1.7-805)下载插件audit-plugin-mysql-5.7-1.1.7-805-linux-x86_64.zip1、把文件上传到/op...
ssh日志审计_系统日志说明及audit审计系统
weixin_29145157的博客
01-17 1363
一、日志文件的分类1.内核及系统日志由系统服务rsyslog统一进行管理,日志格式基本相似软件包:rsyslog-5.8.10-8主要程序:/sbin/rsyslogd配置文件:/etc/rsyslog.conf配置文件:/etc/rsyslog.conf语法日志设备类型 说明auth pam产生的日志authpriv ssh,ftp等登陆信息的验证信息cron 时间任务相关k...
linux审计audit可以定义的规则,linux audit审计(5)--audit规则配置
weixin_35900383的博客
05-15 1116
audit可以配置规则,这个规则主要是给内核模块下发的,内核audit模块会按照这个规则获取审计信息,发送给auditd来记录日志。规则类型可分为:1、控制规则:控制audit系统的规则;2、文件系统规则:也可以认为是文件监控,可以监控一个特定文件或者一个路径。3、系统调用规则:可以记录特定程序的系统调用。audit规则可以通过auditctl,在命令行里输入,这些设置的规则为临时的,当系统重启后...
5.3.3 审核(audit规则
VMA_LMA的专栏
06-23 1950
http://www.startos.com/zhuanti/zt02/2010/1122/10829.html 5.3.3 审核(audit)规则   SELinux有大量的工具记录日志信息,或审核、访问尝试被策略允许或拒绝的信息。审核消息通常叫做"AVC消息",它提供了详细了关于访问尝试的信息,包括是允许还是拒绝,源和目标的安全上下文,以及其它一些访问尝试涉及到资源信息。AVC
RHEL审计内容/etc/audit/audit.rules
cuiyong8723的博客
01-24 1864
# This file contains the auditctl rules that are loaded # whenever the audit daemon is started via the initscr...
audit详细使用配置
张无忌
05-09 4402
Linux audit通过分析系统上正在发生的细节信息,能够有效帮助您提高系统的安全。但是,它本身不提供额外的安全性保障----它不会保护你的系统免受代码故障或者任何类型的漏洞攻击。Audit服务对跟踪这些安全问题非常有用,并且有效帮助我们采取何种针对性的安全措施。
linux 审计工具 auditd 添加规则-过滤type=PROCTITLE
guoguangwu的专栏
07-25 1833
过滤掉type=PROCTITLE的数据 调用audit_log_exit会写入syscall 日志和AUDIT_PROCTITLE等日志,而AUDIT_PROCTITLE对于分析 数据可能没有太大贡献。 可以使用以下规则进行过滤 auditctl -a always,exclude -F msgtype=PROCTITLE ...
linux audit审计(5)--audit规则配置
weixin_30824479的博客
04-04 1215
audit可以配置规则,这个规则主要是给内核模块下发的,内核audit模块会按照这个规则获取审计信息,发送给auditd来记录日志。 规则类型可分为: 1、控制规则:控制audit系统的规则; 2、文件系统规则:也可以认为是文件监控,可以监控一个特定文件或者一个路径。 3、系统调用规则:可以记录特定程序的系统调用。 audit规则可以通过auditctl,在命令行里输入,...
linux 开启审计功能及规则配置
m0_74282605的博客
02-09 2846
【推荐阅读】#查询审计功能#审计日志文件目录#编辑审计配置文件加入以下配置规则:#自定义审计规则#重启审计服务#查询审计配置规则
开启MySQL的audit 审计功能方法
最新发布
06-28
<think>我们正在讨论如何开启MySQL的审计功能。根据引用内容,MySQL的审计功能在不同版本和系统上有不同的配置方式。用户询问的是如何开启audit审计功能,我们需要提供具体的配置方法。首先,注意MySQL企业版和社区版的区别:-企业版自带审计插件(audit_log),可以直接在配置文件中开启。 -社区版没有内置审计插件,需要额外安装插件,例如使用MariaDB的server_audit插件。根据引用[1]:企业版开启审计功能的方法是在配置文件(my.cnf)中添加相关配置。引用[2][3][4][5]则提到了社区版通过安装第三方插件(如server_audit)来实现。用户没有明确说明是哪个版本,因此我们需要提供两种情况的配置方法。步骤:1.确认MySQL版本和系统环境(Linux或Windows)。2.根据版本选择对应的开启方式。情况一:MySQL企业版(以引用[1]为例)-编辑配置文件(my.cnf或my.ini)-添加配置项:[mysqld]audit_log= ONaudit_log_format =JSON#日志格式,也可以是OLD(XML)或NEW(默认格式)audit_log_policy= ALL#记录所有事件,也可以设置为LOGINS(仅登录)、QUERIES(仅查询)、NONE(无)audit_log_file =/var/log/mysql/audit.log#日志文件路径(Linux)或Windows路径注意:在Windows系统中,路径使用反斜杠,例如:audit_log_file =C:\\mysql\\audit.log情况二:MySQL社区版(需要安装插件)-首先需要获取审计插件文件(server_audit.so或server_audit.dll)。引用[4]提到可以从MariaDB获取(Linux下是.so,Windows下是.dll)。-将插件文件放入MySQL的插件目录(可通过`show variableslike 'plugin_dir';`查看)。-在配置文件中添加配置(或通过SQL命令加载插件并设置参数)。社区版配置步骤(以Linux为例,引用[4][5]):1.获取server_audit.so文件(例如从MariaDB的安装目录中复制)。2.将文件复制到MySQL的插件目录(如/usr/lib/mysql/plugin/)。3.在MySQL配置文件(my.cnf)中添加:[mysqld]plugin-load=server_audit=server_audit.soserver_audit_logging=ONserver_audit_events=CONNECT,QUERY,TABLE#需要记录的事件类型server_audit_file_path=/var/log/mysql/server_audit.logserver_audit_file_rotate_size=30000000#日志文件大小,单位字节server_audit_file_rotations=200#保留的日志文件数量4.重启MySQL服务。或者通过SQL命令动态加载(无需重启):INSTALLPLUGIN server_audit SONAME 'server_audit.so';SETGLOBALserver_audit_logging=ON;...(其他参数也可以通过SET命令设置)注意:Windows系统使用.dll文件,配置方法类似,只需将文件名改为server_audit.dll。另外,引用[5]提到了一些动态设置的参数:SET GLOBAL server_audit_events='query,table';SETGLOBALserver_audit_file_path= 'server_audit.log';SETGLOBALserver_audit_file_rotate_size=300*1024*1024;#300MBSET GLOBAL server_audit_file_rotate_now=ON;#立即轮转日志SETGLOBALserver_audit_logging=1;#开启日志记录但是,通过SQL命令设置的参数在重启后会失效,建议将配置写入配置文件。总结:-企业版:直接配置参数即可。-社区版:需要安装插件,然后配置参数。注意:无论哪种方式,都要确保日志文件的路径MySQL有权限写入。根据用户的问题,我们给出两种情况的配置方法,并提醒用户根据实际版本选择。由于用户没有提供具体的版本和系统,我们提供通用方法。最后,生成相关问题。</think>### 开启 MySQL Audit 审计功能的配置方法 #### 一、MySQL 企业版配置方法(推荐) MySQL 企业版内置审计插件,通过修改配置文件开启: 1. 编辑 MySQL 配置文件: ```bash sudo vim /etc/my.cnf # Linux 系统 # 或修改 my.ini (Windows) ``` 2. 在 `[mysqld]` 段添加配置: ```ini [mysqld] audit_log = ON audit_log_format = JSON # 日志格式:JSON/OLD/NEW audit_log_policy = ALL # 记录策略:ALL/LOGINS/QUERIES/NONE audit_log_file = /var/log/mysql/audit.log # 日志路径 ``` 3. 创建日志目录并授权: ```bash sudo mkdir -p /var/log/mysql sudo chown mysql:mysql /var/log/mysql ``` 4. 重启 MySQL 服务: ```bash sudo systemctl restart mysqld # Linux # Windows: 服务管理器重启 MySQL ``` 5. 验证状态: ```sql SHOW VARIABLES LIKE 'audit_log%'; ``` ![企业版审计状态示例](https://example.com/mysql-audit-status.png) *图:审计功能开启后的状态输出[^1]* #### 二、MySQL 社区版配置方法(需插件) 社区版需安装第三方审计插件(如 MariaDB 的 `server_audit`): 1. **获取插件文件**: - Linux: `server_audit.so`(从 MariaDB 安装包提取) - Windows: `server_audit.dll`([官方下载](https://mariadb.com/kb/en/mariadb-audit-plugin/)) 2. **安装插件**: ```sql INSTALL PLUGIN server_audit SONAME 'server_audit.so'; # Linux -- Windows: INSTALL PLUGIN server_audit SONAME 'server_audit.dll'; ``` 3. **动态配置参数**: ```sql SET GLOBAL server_audit_logging = ON; SET GLOBAL server_audit_events = 'CONNECT,QUERY,TABLE'; # 监控事件 SET GLOBAL server_audit_file_path = '/var/log/mysql/server_audit.log'; ``` 4. **持久化配置(添加到 my.cnf)**: ```ini [mysqld] plugin-load = server_audit=server_audit.so server_audit_logging = ON server_audit_file_rotate_size = 30000000 # 单个日志大小(30MB) ``` #### 三、关键参数说明 | 参数 | 企业版 | 社区版 | 作用 | |------|--------|--------|------| | 日志格式 | `audit_log_format` | `server_audit_output_type` | JSON/CSV/TEXT | | 事件类型 | `audit_log_policy` | `server_audit_events` | 控制记录的操作类型 | | 日志路径 | `audit_log_file` | `server_audit_file_path` | 日志存储位置 | | 日志轮转 | 系统日志工具 | `server_audit_file_rotate_now` | 触发日志切割 | > **注意**: > 1. Windows 路径需转义:`audit_log_file = C:\\mysql\\audit.log` > 2. 社区版需定期执行 `SET GLOBAL server_audit_file_rotate_now=ON;` 手动轮转日志 > 3. 审计日志可能影响 5-15% 性能,建议仅记录关键操作[^5] #### 四、验证审计效果 ```sql -- 执行测试操作 CREATE TABLE test.t(id INT); SELECT * FROM test.t; -- 查看审计日志(Linux) sudo tail -f /var/log/mysql/audit.log ``` 输出示例(JSON 格式): ```json { "timestamp": "2023-08-20T10:23:45 UTC", "user": "root@localhost", "ip": "192.168.1.10", "action": "QUERY", "query": "SELECT * FROM test.t" } ```
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

教Linux的李老师

赞赏是第一生产力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值