使用audit工具常规命令监控系统访问文件

最新推荐文章于 2025-03-11 14:21:08 发布
转载 最新推荐文章于 2025-03-11 14:21:08 发布 · 1k 阅读 · 2 ·
CC 4.0 BY-SA版权
原文链接:https://yq.aliyun.com/articles/673000
文章标签:

#运维 #操作系统

audit工具的作用

audit工具可以对文件使用进行监控,可以监控是哪个进程对文件进行读写执行和atrribute属性修改。在常规运维中有很多作用。

audit工具的安装和启动

Ubuntu使用apt-get audit。centos使用yum install audit
下面命令enable和启动、停止auditd

systemctl enable auditd 
Systemctl start auditd
Service auditd restart //在centos7.x上当auditd启动以后,
//auditd配置拒绝使用systemctl stop、restart 。只能使用service命令
Service auditd stop

audit工具的使用

audit关键组件

  • auditctl audit配置工具
  • ausearch audit结果查找工具
  • aureport report工具
  • autrace 跟踪工具,对一个进程进行跟踪类似于strace
  • auditd进程
  • /etc/audit/rules.d/audit.rules auditd进程启动后会从此处读去配置
  • /var/log/audit/audit.log audit详细日志都记录在此处

audit 常规使用方法

使用audit监控文件的读写访问

  • auditctl工具添加规则
    auditctl添加的规则每次audit服务重启后就消失了。
auditctl -l //查看当前生效的audit规则
Auditctl -w /home/zxy -p wxra // 参数-w对某个文件、目录进行监控,-p后面跟着是规则 w 写入 r 读 x 执行 a修改属性
auditctl -W /home/zxy //参数-W对某个文件、目录取消监控

auditctl 添加的规则也可以写入到/etc/audit/rules.d/audit.rules 文件最尾巴上,它可以保证每次audit服务重启后,规则还有效。

  • ausearch 查找规则监控的结果
    正常情况下audit启动后会出现大量的监控日志,可以使用ausearch 对日志进行过滤只显示感兴趣的项目
Ausearch -f zxy.txt //在日志中过滤出所有和zxy.txt相关的项目
  • audit输出项说明
字段用途其他
Time审计时间na
name审计对象na
cwd访问发起的当前路径na
syscall发起访问的系统调用号在linux系统的unistd.h中有记录系统调用号
ppid父进程idna
pid进程idna
uid访问文件的用户id0号表示root用户
gid访问文件的用户组id0号表示root用户组
com访问的用户命令na
exe访问的用户命令的全路径na
45、系统安全:加密、访问控制与网络安全全解析
vim8coder的博客
06-02 32
本文深入解析了系统安全的多个核心方面,包括文件加密的最佳实践、基于角色的访问控制(RBAC)的实现机制以及网络安全的防护策略。详细介绍了AIX和Solaris系统中角色与权限的配置方法,并提供了网络安全的具体措施,如防火墙、IDS/IPS配置及安全审计。文章旨在帮助用户构建全面的安全体系,以应对不断变化的安全威胁。
《云计算》-安全策略-部署audit监控文件文件发生任何变化即记录日志、通过手动和ausearch工具查看日志内容
解启超
03-06 561
1 案例1:部署audit监控文件 1.1 问题 本案例要求熟悉audit审计工具的基本使用,完成以下任务操作: 使用audit监控/etc/ssh/sshd_config 当该文件发生任何变化即记录日志 通过手动和ausearch工具查看日志内容 1.2 方案 审计的目的是基于事先配置的规则生成日志,记录可能发生在系统上的事件(正常或非正常行为的事件),审计不会为系统提供额外的安全保护,但她会...
linux的审计功能(audit
weixin_71792169的博客
09-26 4408
PART ONE 为了满足这样的需求:记录文件变化、记录用户对文件的读写,甚至记录系统调用,文件变化通知。 什么是audit The Linux Audit Subsystem is a system to Collect information regarding events occurring on the system(s) Kernel events (syscall events) User events (audit-enabled programs) syslog会记录系统状态(硬件警告、
6.监控、审计和运行时安全
weixin_46532941的博客
04-04 3874
Sysdig:一个非常强大的系统监控、分析和故障排查工具。汇聚 strace+tcpdump+htop+iftop+lsof 工具功能于一身!sysdig 除了能获取系统资源利用率、进程、网络连接、系统调用等信息, 还具备了很强的分析能力,例如:按照CPU使用率对进程排序按照数据包对进程排序打开最多的文件描述符进程查看进程打开了哪些文件查看进程的HTTP请求报文查看机器上容器列表及资源使用情况项目地址:https://github.com/draios/sysdig。
audit详细使用配置
张无忌
05-09 4260
Linux audit通过分析系统上正在发生的细节信息,能够有效帮助您提高系统的安全。但是,它本身不提供额外的安全性保障----它不会保护你的系统免受代码故障或者任何类型的漏洞攻击。Audit服务对跟踪这些安全问题非常有用,并且有效帮助我们采取何种针对性的安全措施。
strace 对auditd监控的系统调用syscall性能分析
guoguangwu的专栏
08-26 888
编写测试程序,内部调用系统调用,或者比较简单的方式,对sshd进程进行性能分析。 采用第二种方式进行分析: 找到要监控性能的进程的pid; 不开启auditd监控规则使用strace开始测试 启动检测 sudo strace -c -p 7344 上传文件linux_kernel_2-6-11-12_comment.tar.bz2 上传完毕, ctrl +c 终止。 ...
auditd 监控网络
guoguangwu的专栏
05-31 1646
安装auditd 查看auditd是否启动 service auditd status 如果出现 Active: active (running),说明已启动。 先查看规则auditctl -l 添加规则auditctl -a always,exit -F arch=b64 -S socket auditctl -a always,exit -F arch=b6...
【Linux文件系统实时监控实战】:掌握inotify-tools和audit的高级用法
[【Linux文件系统实时监控实战】:掌握inotify-tools和audit的高级用法](https://linuxtldr.com/wp-content/uploads/2024/05/monitoring-a-single-file-using-inotifywait-1024x579.webp) # 1. Linux文件系统监控...
Linux文件系统访问控制列表(ACL)精讲
Linux文件系统访问控制列表(ACL)作为一种先进的权限管理系统,提供了一种灵活且强大的方式,允许管理员定义更细致的权限规则。 ## 2.1 ACL的基本概念和作用 ### 访问控制列表的定义 ACL是一种权限管理机制,它...
【权威指南】:distcp工具在分布式文件系统中的应用技巧
Hadoop生态系统中的`distcp`(即分布式复制工具)便是为了在这些文件系统之间有效地传输数据而设计。`distcp`不仅仅是一个简单的复制工具,它在数据迁移、备份、数据仓库维护等多个方面都发挥着关键作用
【Linux文件系统调优攻略】:性能监控和优化的最佳实践
[【Linux文件系统调优攻略】:性能监控和优化的最佳实践](https://learn.redhat.com/t5/image/serverpage/image-id/8224iE85D3267C9D49160/image-size/large?v=v2&px=999) # 1. Linux文件系统概述 Linux操作系统中...
auditctl
mr_raptor的专栏
04-10 4866
安装: apt-get install auditd.1.auditd 是后台守护进程,负责监控记录2.auditctl 配置规则工具3.auditsearch 搜索查看4.aureport 根据监控记录生成报表比如,监控 /root/.ssh/authorized_keys 文件是否被修改过:aditctl -w /root/.ssh/authorized_keys -p war -k aut
51: 系统审计 、 服务安全 、 服务安全 、 Linux安全之打补丁 、 总结和答疑
weixin_46575696的博客
11-13 608
CASE Top NSD SECURITY DAY05 案例1:部署audit监控文件 案例2:加固常见服务的安全 案例3:使用diff和patch工具打补丁 ...
部署audit监控文件
weixin_41176080的博客
02-12 385
1案例1:部署audit监控文件 1.1问题 本案例要求熟悉audit书籍工具的基本使用,完成以下任务操作: 使用audit监控/etc/ssh/sshd_config 当该文件发生任何变化即记录日志 通过手动和ausearch工具查看日志内容 1.2方案 审计的目的是基于事先配置的规则生成日志,记录可能发生在系统上的事件(正常或非正常行为的事件),审计不会为系统提供额外的安全保护,但她会发现...
Linux 文件通知机制,文件监控与通知机制 audit inotify
weixin_28693447的博客
05-05 293
什么是auditThe Linux Audit Subsystem is a system to Collect information regarding events occurring on the system(s)Kernel events (syscall events)User events (audit-enabled programs)syslog会记录系统状态(硬件警告、软件的...
谁动了我的文件——使用audit监控文件和目录
热门推荐
Blue summer的博客
07-13 1万+
有时候在系统上经常会遇到某个文件不知被谁修改了,或者删除了,又找不到证据,这时候audit就派上用场了。 比如我要监控/var/log/test这个目录,可以这样新增一个监控项, [root@CentOS-7-2 /var/log/test]# auditctl -w /var/log/test [root@CentOS-7-2 /var/log/test]# auditctl -l -w...
通过audit监控某个文件的写操作
llxx1234的博客
05-27 1057
按照下面的步骤可以增加对某个文件写操作的监控, 1、vi /etc/audit/rules.d/audit.rules在最后一行加入一行 -w 文件名字 -p w -k 别名(test) 2、 执行service auditd restart 3、获取监控结果,有两种方法 cat /var/log/audit/audit.log |grep test au...
auditd监控命令或者文件
最新发布
wuqing2012mxd的博客
03-11 279
的执行情况(对于未来的事件)
FreeBSD_11-系统管理——{Part_7-AUDIT}
weixin_30532369的博客
11-18 166
相关概念 EVENT 事件,审计系统计录的对象,包括用户登陆、网络与文件操作等各方面 CLASS 类,对具有相同或类似属性的事件的分組 RECORD 记录,审计系统生成的日志中的每一条信息 TRAIL 账目,即日志文件 SELECTION EXPRESSION 筛选表达式,用于提取有效审计信息的語法 PRESE...
linux查看文件操作记录
12-28
为了专门监控文件系统的变更活动,可以考虑使用 `auditd` 守护进程来跟踪详细的文件访问行为。安装并启用审计工具之后,能够定义规则集用于捕捉读取、修改等动作,并将其结果存放在 `/var/log/audit/audit.log` 中供...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值