使用audit工具常规命令监控系统访问文件

audit工具的作用

audit工具可以对文件使用进行监控,可以监控是哪个进程对文件进行读写执行和atrribute属性修改。在常规运维中有很多作用。

audit工具的安装和启动

Ubuntu使用apt-get audit。centos使用yum install audit
下面命令enable和启动、停止auditd

systemctl enable auditd 
Systemctl start auditd
Service auditd restart //在centos7.x上当auditd启动以后,
//auditd配置拒绝使用systemctl stop、restart 。只能使用service命令
Service auditd stop

audit工具的使用

audit关键组件

  • auditctl audit配置工具
  • ausearch audit结果查找工具
  • aureport report工具
  • autrace 跟踪工具,对一个进程进行跟踪类似于strace
  • auditd进程
  • /etc/audit/rules.d/audit.rules auditd进程启动后会从此处读去配置
  • /var/log/audit/audit.log audit详细日志都记录在此处

audit 常规使用方法

使用audit监控文件的读写访问

  • auditctl工具添加规则
    auditctl添加的规则每次audit服务重启后就消失了。
auditctl -l //查看当前生效的audit规则
Auditctl -w /home/zxy -p wxra // 参数-w对某个文件、目录进行监控,-p后面跟着是规则 w 写入 r 读 x 执行 a修改属性
auditctl -W /home/zxy //参数-W对某个文件、目录取消监控

auditctl 添加的规则也可以写入到/etc/audit/rules.d/audit.rules 文件最尾巴上,它可以保证每次audit服务重启后,规则还有效。

  • ausearch 查找规则监控的结果
    正常情况下audit启动后会出现大量的监控日志,可以使用ausearch 对日志进行过滤只显示感兴趣的项目
Ausearch -f zxy.txt //在日志中过滤出所有和zxy.txt相关的项目
  • audit输出项说明
字段用途其他
Time审计时间na
name审计对象na
cwd访问发起的当前路径na
syscall发起访问的系统调用号在linux系统的unistd.h中有记录系统调用号
ppid父进程idna
pid进程idna
uid访问文件的用户id0号表示root用户
gid访问文件的用户组id0号表示root用户组
com访问的用户命令na
exe访问的用户命令的全路径na
### 查看Linux中的文件操作日志 在Linux系统中,查看文件操作的日志可以通过多种方式实现。通常情况下,这些日志信息会被记录到特定位置以便于管理和查询。 对于大多数现代Linux发行版而言,`/var/log` 是存储各种服务和应用程序日志的主要目录[^2]。具体来说: - **Syslog** 或者更先进的 **rsyslogd** 可能会捕获并保存某些类型的文件访问事件。默认配置下,这类消息可能会被写入 `/var/log/syslog` (Debian及其衍生版本)或是 `/var/log/messages` 文件(RedHat系列及其他一些发行版)。 为了专门监控文件系统的变更活动,可以考虑使用 `auditd` 守护进程来跟踪详细的文件访问行为。安装并启用审计工具之后,能够定义规则集用于捕捉读取、修改等动作,并将其结果存放在 `/var/log/audit/audit.log` 中供后续分析。 另外,在MySQL数据库环境中,InnoDB引擎产生的重做日志也会涉及到文件级别的I/O操作;然而这主要针对的是事务处理而非一般意义上的操作系统文件管理[^3]。因此如果目标是监视常规文件的操作,则应关注上述提到的标准日志路径和服务。 最后值得注意的一点是在执行任何涉及敏感数据或权限受限资源的任务之前,请确保拥有适当的权利以及遵循所在环境的安全策略规定。 ```bash # 使用journalctl命令查看最近一段时间内的所有日志条目 sudo journalctl --since "2023-01-01" # 如果已安装auditd,可通过ausearch按时间范围搜索指定类型(event type)的事件 sudo ausearch -ts recent -m PATH ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值