Linux笔记之审计与日志

最新推荐文章于 2025-04-15 15:32:46 发布
最新推荐文章于 2025-04-15 15:32:46 发布
阅读量1.3k 收藏 11
点赞数 3
分类专栏: Linux笔记 文章标签: linux 笔记 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_44632427/article/details/143895953
版权

Linux笔记之审计与日志

Linux 系统通过审计和日志管理来跟踪用户活动、系统事件和安全问题。本章将详细讲解如何使用 auditd 进行安全审计,以及如何配置和监控系统日志与安全日志。

一、Auditd 安全审计

1、概念说明

auditd 是 Linux 系统的审计守护进程,可记录系统调用、文件访问、权限变更等事件,以满足安全和合规要求。

2、安装与启动

安装 Auditd

sudo apt-get install auditd

启动服务

sudo systemctl start auditd
sudo systemctl enable auditd

3、配置审计规则

审计规则定义哪些事件需要记录,通常通过 /etc/audit/audit.rules 或运行时命令进行配置。

示例规则

  1. 监控 /etc/passwd 文件的访问:
sudo auditctl -w /etc/passwd -p wa -k passwd_changes

命令说明

  • -w /etc/passwd:监控目标文件。
  • -p wa:记录写入(write)和属性更改(attribute change)。
  • -k passwd_changes:为规则添加标记。
  1. 查看当前规则:
sudo auditctl -l

输出示例

-w /etc/passwd -p wa -k passwd_changes

查看审计日志
审计日志存储在 /var/log/audit/audit.log 中,可以使用 ausearch 分析日志。

sudo ausearch -k passwd_changes

输出示例

type=SYSCALL msg=audit(1697040303.123:420): arch=c000003e syscall=2 success=yes ...
type=PATH msg=audit(1697040303.123:420): item=0 name="/etc/passwd" ...

二、系统日志管理

1、概念说明

系统日志记录系统运行状态、应用程序事件和安全信息,通常存储在 /var/log/ 目录下。常用日志文件包括:

  • /var/log/syslog:系统日志。
  • /var/log/auth.log:认证日志。
  • /var/log/dmesg:内核日志。

2、配置日志守护进程

rsyslog 配置
rsyslog 是常用的日志守护进程,配置文件位于 /etc/rsyslog.conf

  1. 启用远程日志传输:
*.* @192.168.1.100:514
  1. 重启服务:
sudo systemctl restart rsyslog

3、日志轮转与压缩

Logrotate
logrotate 是用于日志文件管理的工具,支持自动轮转、压缩和清理。

配置文件位于 /etc/logrotate.conf/etc/logrotate.d/ 中。

示例配置
编辑 /etc/logrotate.d/syslog

/var/log/syslog {
    daily
    rotate 7
    compress
    missingok
    notifempty
    create 0640 root adm
}

三、安全日志监控

1、监控用户登录与权限

last 命令
查看用户登录历史:

last

输出示例

root     pts/0        192.168.1.10    Wed Nov 15 15:30   still logged in

lastb 命令
查看失败的登录尝试:

sudo lastb

2、实时日志监控

使用 tailjournalctl 实现实时日志监控:

sudo tail -f /var/log/auth.log

或使用 journalctl

sudo journalctl -f

四、小结

通过本章学习,你已经掌握以下内容:

  1. 使用 Auditd 进行安全审计

    • 配置审计规则。
    • 查看与分析审计日志。

  2. 配置与管理系统日志

    • 配置 rsyslog 管理日志。
    • 使用 logrotate 进行日志轮转与压缩。

  3. 监控安全日志

    • 使用工具如 lastjournalctl 实时监控安全事件。

审计与日志管理为系统安全提供了重要保障,管理员应根据实际需求配置合适的规则与策略。

《网络安全自学教程》- Linux日志详解
wangyuxiang946的博客
04-26 1万+
这篇文章给大家介绍Linux用来做安全审计日志有哪些,解析日志字段含义。
linux笔记
2402_86725606的博客
03-13 638
vgcreate myvg /dev/sdb1 /dev/sdc1 # 将多个PV组合为卷组myvg。pvcreate /dev/sdc # 将整个磁盘/dev/sdc初始化为PV。mkfs.ext4 /dev/myvg/mylv # 格式化为ext4文件系统。pvcreate /dev/sdb1 # 将分区/dev/sdb1初始化为PV。lvextend -L +5G /dev/myvg/mylv # 增加5G容量。
Linux audit 日志审计服务安装及使用
01-12
Linux auditd 工具可以将审计记录写入日志文件。包括记录系统调用和文件访问。管理员可以检查这些日志,确定是否存在安全漏洞。
Linux日志审计
05-17 5285
Linux日志审计 常用命令 find、grep 、egrep、awk、sed Linux 中常见日志以及位置 位置 名称 /var/log/cron 记录了系统定时任务相关的日志 /var/log/auth.log 记录验证和授权方面的信息 /var/log/secure 同上,只是系统不同 /var/log/btmp 登录失败记录 使用lastb命令查看 /var/log/wtmp 登录失成功记录 使用last命令查看 /var/log/lastlog 最后一次登录
Linux-服务器添加审计日志功能
最新发布
xiaozhidepikaqiu的博客
04-15 1159
在 /etc/audit/rules.d/audit.rules 里面配置规则。#修改/etc/default/grub里面audit=0 改为audit=1。#查看audit软件是否在运行(状态为active而且为绿色表示已经在运行)#如果没有在运行的话,查看是否被系统禁用 (audit为0表示被禁用)#审计日志默认存储在/var/log/audit/audit.log中。success:操作是否成功(yes/no)。# 按事件类型过滤(如查看所有文件访问事件)
linux安全管理-日志审计
疏笃
11-27 1106
【代码】linux安全管理-日志审计
LINUX日志审计
2302_77424749的博客
05-06 1353
5.在状态码前面可查看该账户访问过的文件夹,状态码后面可查看该账户所使用的浏览器客户端页面的来源地址以及浏览器类型和版本号等信息以便溯源。5.btmp日志:记录了登录失败的登录信息,需要使用 lastb 进行查看。1.首先可看登录次数较多的IP地址以及账号,查看非本地IP地址或者异常IP,是否有尝试破解登录等操作。3.utmp日志:记录了当前正在登录的系统的信息,需要使用 who 命令或者 w 命令。4.wtmp日志:记录了当前和历史登录的用户信息,需要使用 last 命令进行查看。
Linux shell脚本输出日志笔记整理(必看篇)
09-15
Linux系统中,shell脚本是自动化任务的强大工具,而日志记录对于监控脚本运行情况、调试问题以及保持系统审计记录至关重要。这篇笔记主要介绍了如何在shell脚本中实现有效的日志输出。 首先,定义日志文件的名称...
linux运维学习笔记:Mysql日志.pdf
08-18
这个日志对于数据库的安全审计特别重要,因为它可以记录所有已经执行成功的SQL操作。一般查询日志在性能要求不是特别高的环境中使用,因为它会增加数据库系统的I/O开销。启用一般查询日志的配置如下: ``` [mysqld]...
Linux7.6 +rsyslog8.24+LogAnalyzer4.1.11 日志收集系统成功安装配置笔记
08-06
通过rsyslog收集和LogAnalyzer的展示,可以实现全面的日志管理,这对于监控系统状态、排查问题和安全审计至关重要。 总之,搭建Linux 7.6 + rsyslog 8.24 + LogAnalyzer 4.1.11日志收集系统涉及多个步骤,包括...
Linux防护群集笔记.zip
10-20
第一章 系统安全及应用:这部分内容可能涵盖Linux系统的安全基础,包括用户权限管理、文件权限设置、防火墙规则、SSH安全配置、恶意软件防范以及日志审计等。理解并掌握这些知识点能够有效防止系统被攻击,保护数据...
15、Linux日志审计
carmi的博客
10-30 712
Linux日志审计 目录Linux日志审计1、日志文件的功能和分类2、日志文件保存位置和文件介绍3、管理日志服务的配置文件4、内核及系统日志5、日志消息的级别6、日志记录的一般格式7、用户日志分析8、程序日志分析9、日志服务器搭建10、补充1、日志文件的功能和分类 日志的功能 用于记录系统、程序运行中发生的各种事件。 通过阅读日志,有助于诊断和解决系统故障日志。 文件的分类 1、内核及系统日志:...
Linux日志巡检之日常操作及安全审计
企业实战系列集 ●●● https://ximenjianxue.blog.youkuaiyun.com
04-21 9463
一、背景 本文专门针对Linux系统运维当中相关日志,总结概述经常要执行的操作,以备参考辅助。 二、常见日志 /var/log/message 系统启动后的信息和错误日志,是Red Hat Linux中最常用的日志之一,一般系统整体运行信息都会记录在该日志里,其中也包含系统启动期间的日志。此外,mail,cron,daemon,kern和auth等内容也会记录在var/log/messages日志中。 /var/log/daemon.log:记录包含各种系统后台守护进程日志信息 /var/log/maill
【项目记录】Linux日志审计系统
linjiuxiansheng的博客
03-26 1171
本作品实现了对客户端的Linux系统日志审计以及警报。使用者只需预留用于警报的邮箱,在客户端部署软件,即可实现对Linux系统日志的转发分析以及通过客户预留的邮箱进行警报,适用于Linux个体以及集群对系统的实时监听。实现日志转发、审计和报警的工作、一键部署rsyslog环境、利用rsyslog转发日志、分析处理日志mysql数据库、用java搭建可视化界面WEB可视化界面并实现警报功能。
开启linux的audit日志监控服务
qq_31354099的博客
10-26 997
里面如果audit=0,则表示系统内核未开启审计功能。
SELinux auditd日志系统的安装启动
Linux脚本程序包及安装方法(以webmin安装为例)详解
02-06 777
当查看特定安全上下文的策略规则时,SELinux 会使用被称为 AVC(Access Vector Cache,访问矢量缓存)的缓存,如果访问被拒绝(也被称为 AVC 拒绝),则会在一个日志文件中记录下拒绝消息。 这些被拒绝的消息可以帮助诊断和解决常规的 SELinux 策略违规行为,至于这些拒绝消息到底被记录在什么位置,则取决于 auditd 和 rsyslogd 守护进程的状态: 若...
Linux开启审计操作日记(history格式)
Fadess的博客
07-27 1744
history配置、Linux操作日记配置、Linux记录操作日志
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

人间酒中仙

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值