auditd监控命令或者文件

于 2025-03-11 14:21:08 发布
阅读量226 收藏
点赞数 1
文章标签: linux 运维 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/wuqing2012mxd/article/details/146177738
版权

创建一个审计规则来监控 postsuper 的执行情况(对于未来的事件)

sudo auditctl -a always,exit -F arch=b64 -S execve -F exe=/usr/sbin/postsuper -k postsuper_exec

查询审计日志以查找特定时间点的事件:

sudo ausearch -k postsuper_exec -ts 10:14:00 -te 10:15:00

如果目标命令有执行就可以查询到ppid和pid:

通过查询父进程的id可以跟踪到想要的结果,涉及隐私,这里就不展示了:

ausearch -p 32551

pikazo
关注
Linux: audit;如何知道有哪一个程序访问了某个文件? auditctl
mzhan017的博客
10-23 498
就是使用systemtap提高的功能,监听具体的文件操作函数。第二个方法,需要准备相应的脚本,编译环境,有些麻烦。第一个放到,使用audit,这个比较方便使用;如何知道有哪一个程序访问了某个文件
linux监控文件操作行为
weixin_40539956的博客
04-15 2182
关键词(key)在这个上下文中是完全自定义的。当你使用 -k 参数在 auditd 规则中指定一个关键词时,这个关键词用于标记和识别与该规则相关的审计事件。这意味着你可以使用任何有意义的字符串作为关键词,以便于后续在审计日志中快速过滤和查找相关事件。-k auth-change 中的 auth-change 是一个自定义关键词,用于标识和过滤与 /etc/pam.d/common-auth 文件更改相关的审计事件。
Linux 监控文件被什么进程修改(详解)
09-15
下面小编就为大家带来一篇Linux 监控文件被什么进程修改(详解)。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Linux监听系统文件(二)——auditd
qq_43287763的博客
07-09 741
使用auditd可以记录文件的修改操作,博主采用的就是这种,下面是实例。首先,安装auditd然后,添加一个监控规则来监控这是auditd生成的审计日志输出,描述了之前设置的审计规则被添加的事件。让我们逐步解释每一部分的含义:这些日志条目表明你成功添加了一条审计规则来监视`/etc/locale.conf`文件的更改。接下来,审计日志将记录对这个文件的所有访问和更改。
Linux 系统管理和监控命令---- auditctl命令
weixin_46356409的博客
11-13 1612
auditctl是一个强大的工具,用于配置和管理 Linux 审计系统的规则。通过使用auditctl,可以监视文件和目录的访问、系统调用以及其他重要的系统事件。结合ausearch和aureport,可以有效地查询和报告审计日志,帮助管理员进行安全审计和合规性检查。
学习Linux审计守护工具之auditd
ReaF_star的博客
03-03 1601
auditd 一个linux重要组件, 主要用于监控系统调用和文件访问。通过配置审计规则,可以用来记录文件访问、登录尝试、权限更改等操作,能够帮管理员追踪系统的安全时间和异常行为。
通过auditd找到干坏事的进程
woai110120130的专栏
06-11 2419
最近发现服务器上某个进程会定期执行echo 1 > /proc/sys/vm/drop_caches 命令, 不知道哪个傻瓜干的, 这严重影响了服务器的性能, 问题是通过kernal log看到的 [30352749.162493] sh (11336): drop_caches: 1 [30356347.539229] sh (21947): drop_caches: 1 [30359945.590508] sh (28856): drop_caches: 1 [30363543.255243] s
Linux安全之auditd审计工具使用说明
月生的静心苑
11-28 9262
audit 我们可以使用auditctl临时配置规则,服务重启失效,如果需要配置永久生效,我们需要将规则写入到配置文件中。auditd审计规则分成三个部分,控制规则:这些规则用于更改审计系统本身的配置和设置。文件系统规则:这些是文件或目录监视。使用这些规则,我们可以审核对特定文件或目录的任何类型的访问。系统调用规则:这些规则用于监视由任何进程或特定用户进行的系统调用。使用 ausearch ,您可以过滤和搜索事件类型。它还可以通过将数值转换为更加直观的值(如系统调用或用户名)来解释事件。
linux监控文件变化的程序,在 Linux监控程序修改文件
weixin_35478664的博客
05-07 2127
工作中, 有时候我们需要知道某个文件是否被修改了, 被哪个程序修改了. Linux 下可以很方便地监控某个文件被修改的记录. 根据目的不同, Linux 下有不同的监视文件文件夹的方案.A. AuditdAuditd 可以很方便监控记录哪些程序和用户对指定文件 (即使不存在) 做的操作.安装 auditd一般发行版软件仓库里都会有 auditd 安装包. 如果默认没有安装, 可以很方便地利用包管...
部署audit监控文件: 使用audit监控/etc/ssh/sshd_config 当该文件发生任何变化即记录日志 通过手动和ausearch工具查看日志内容
彭淦淦的博客
04-23 1011
1.1 问题 本案例要求熟悉audit审计工具的基本使用,完成以下任务操作: 使用audit监控/etc/ssh/sshd_config 当该文件发生任何变化即记录日志 通过手动和ausearch工具查看日志内容 1.2 方案 审计的目的是基于事先配置的规则生成日志,记录可能发生在系统上的事件(正常或非正常行为的事件),审计不会为系统提供额外的安全保护,但她会发现并记录违反安全策略的人及其对应的...
如何配置auditd监控特定用户或进程的行为?
10-09
配置auditd监控特定用户或进程的行为通常涉及以下几个步骤: 1. **启用审计规则**:首先需要在`/etc/audit/audit.rules`文件中添加相应的审计规则。你可以定义针对特定用户、命令行参数、系统调用或文件操作的...
Linux系统之ausearch命令详解
最新发布
weixin_56303229的博客
03-07 395
ausearch 是 Linux 审计系统中的一个命令行工具,用于在审计日志中搜索特定类型的事件。它允许用户根据多种条件(如时间、UID、GID、系统调用、文件路径等)来过滤和检索审计记录。这对于安全审计、故障排查以及满足合规性要求非常有用。
Linux系统之auditd详解
weixin_56303229的博客
03-06 470
auditdLinux 审计系统的核心守护进程,它负责从内核审计框架收集信息,并将其写入磁盘上的日志文件中。通过 auditd,管理员可以监控系统的各种活动,包括文件访问、权限更改、系统调用等,这对于提高系统的安全性以及满足合规性要求非常重要。
ausearch
yunweimao的博客
07-02 4630
这是许多新系统管理员提出的关键问题之一:如何审核文件事件,如读/写等?如何使用audit查看谁在Linux中更改了文件?答案是使用2.6内核的审计系统。现代Linux内核(2.6.x...
ubuntu20.04 Auditd使用教程(监控所有用户命令输入记录,包括常用命令、运行脚本、pip安装、apt安装等)(操作监控、输入监控命令监控、操作日志、命令日志、history命令)失败了
Dontla的博客
12-20 5321
我想使用Auditd记录所有用户的命令输入记录,但是我,我仍然不知道怎么方便查看Auditd的具体命令记录。我只能查到类似如下的记录:虽然有执行的工作路径、可执行文件名,也有参数,但并不是很直观,对吧 - -
使用audit工具常规命令监控系统访问文件
weixin_33915554的博客
10-26 1027
audit工具的作用 audit工具可以对文件使用进行监控,可以监控是哪个进程对文件进行读写执行和atrribute属性修改。在常规运维中有很多作用。 audit工具的安装和启动 Ubuntu使用apt-get audit。centos使用yum install audit 下面命令enable和启动、停止a...
Linux系统审计详解
m0_74282605的博客
01-17 1586
ausearch -sv #按syscall的返回值查找(yes/no)ausearch -tm #按连接终端查找(term/ssh/tty)ausearch -w #按在audit rule设定的字符串查找。ausearch -ua #按uid和euid查找。ausearch -ga #按gid和egid查找。ausearch -k #按特定的key值查找。ausearch -ue #按euid查找。ausearch -ge #按egid查找。ausearch -ui #按uid查找。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值