centos 日志审计_CentOS7 – 审计日志[通俗易懂]

centos 日志审计_CentOS7 – 审计日志[通俗易懂]1、auditctl:即时控制审计守护进程的行为的工具,比如如添加规则等等。audtitctl-l#查看规则auditctl-D#清空规则2、aureport:查看和生成审计报告的工具。aureport-l#生成登录审计报告3、ausearch:查找审计事件的工具ausearch-i-p40964、autrace:一个用于跟踪进程的命令。autrace-r/u…

大家好,又见面了,我是你们的朋友全栈君。

1、auditctl : 即时控制审计守护进程的行为的工具,比如如添加规则等等。

audtitctl -l #查看规则

auditctl -D #清空规则

2、aureport : 查看和生成审计报告的工具。

aureport -l #生成登录审计报告

3、ausearch : 查找审计事件的工具

ausearch -i -p 4096

4、autrace : 一个用于跟踪进程的命令。

autrace -r /usr/sbin/anacron

/etc/audit/audit.rules : 记录审计规则的文件。

/etc/audit/rules.d/ : 规则子目录,可以直接在这里面添加.rules文件生效配置

/etc/audit/auditd.conf : auditd工具的配置文件。

/var/log/audit/audit.log : 默认日志路径

1、监控文件或者目录的更改

auditctl -w /etc/passwd -p rwxa

-w path : 指定要监控的路径,上面的命令指定了监控的文件路径 /etc/passwd

-p : 指定触发审计的文件或者目录的访问权限

rwxa : 指定的触发条件,r 读取权限,w 写入权限,x 执行权限,a 属性(attr)

运行这条命令之后就开始监控了,但是机器重启之后就失效了,因此要永久生效就需要写到规则文件里面。

vim /etc/auditd/rules.d/auditd.rules

将auditctl的命令参数写到这个文件里面即可。

2、查找日志ausearch

-a number #只显示事件ID为指定数字的日志信息,如只显示926事件:ausearch -a 926

-c commond #只显示和指定命令有关的事件,如只显示rm命令产生的事件:auserach -c rm

-i #显示出的信息更清晰,如事件时间、相关用户名都会直接显示出来,而不再是数字形式

-k #显示出和之前auditctl -k所定义的关键词相匹配的事件信息

3、日志字段说明

参数说明:

time :审计时间。

name :审计对象

cwd :当前路径

syscall :相关的系统调用

auid :审计用户ID

uid和 gid :访问文件的用户ID和用户组ID

comm :用户访问文件的命令

exe :上面命令的可执行文件路径

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/142644.html原文链接:https://javaforall.cn

【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛

【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...

(0)


相关推荐

发表回复

您的电子邮箱地址不会被公开。

关注全栈程序员社区公众号