使用audit工具常规命令监控系统访问文件

audit工具的作用

audit工具可以对文件使用进行监控,可以监控是哪个进程对文件进行读写执行和atrribute属性修改。在常规运维中有很多作用。

audit工具的安装和启动

Ubuntu使用apt-get audit。centos使用yum install audit
下面命令enable和启动、停止auditd

systemctl enable auditd 
Systemctl start auditd
Service auditd restart //在centos7.x上当auditd启动以后,
//auditd配置拒绝使用systemctl stop、restart 。只能使用service命令
Service auditd stop

audit工具的使用

audit关键组件

  • auditctl audit配置工具
  • ausearch audit结果查找工具
  • aureport report工具
  • autrace 跟踪工具,对一个进程进行跟踪类似于strace
  • auditd进程
  • /etc/audit/rules.d/audit.rules auditd进程启动后会从此处读去配置
  • /var/log/audit/audit.log audit详细日志都记录在此处

audit 常规使用方法

使用audit监控文件的读写访问

  • auditctl工具添加规则
    auditctl添加的规则每次audit服务重启后就消失了。
auditctl -l //查看当前生效的audit规则
Auditctl -w /home/zxy -p wxra // 参数-w对某个文件、目录进行监控,-p后面跟着是规则 w 写入 r 读 x 执行 a修改属性
auditctl -W /home/zxy //参数-W对某个文件、目录取消监控

auditctl 添加的规则也可以写入到/etc/audit/rules.d/audit.rules 文件最尾巴上,它可以保证每次audit服务重启后,规则还有效。

  • ausearch 查找规则监控的结果
    正常情况下audit启动后会出现大量的监控日志,可以使用ausearch 对日志进行过滤只显示感兴趣的项目
Ausearch -f zxy.txt //在日志中过滤出所有和zxy.txt相关的项目
  • audit输出项说明
字段用途其他
Time审计时间na
name审计对象na
cwd访问发起的当前路径na
syscall发起访问的系统调用号在linux系统的unistd.h中有记录系统调用号
ppid父进程idna
pid进程idna
uid访问文件的用户id0号表示root用户
gid访问文件的用户组id0号表示root用户组
com访问的用户命令na
exe访问的用户命令的全路径na
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值