首页 » Linux笔记 » linux中audit审计服务

linux中audit审计服务

 

linux中audit审计服务

参考文档 https://www.ibm.com/developerworks/cn/linux/l-lo-use-space-audit-tool/index.html

参考文档 https://www.cnblogs.com/bldly1989/p/7204358.html

Linux auditd 工具可以将审计记录写入日志文件。包括记录系统调用和文件访问。管理员可以检查这些日志,确定是否存在安全漏洞。

Linux 用户空间审计系统由 auditd、audispd、auditctl、autrace、ausearch 和 aureport 等应用程序组成。下面依次说明:

  • auditctl : 即时控制审计守护进程的行为的工具,如添加规则等。
  • auditd :audit 守护进程负责把内核产生的信息写入到硬盘上,这些信息由应用程序和系统活动触发产生。用户空间审计系统通过 auditd 后台进程接收内核审计系统传送来的审计信息,将信息写入到 /var/log/audit/audit.log。
  • aureport : 查看和生成审计报告的工具。
  • ausearch : 查找审计事件的工具
  • auditspd : 转发事件通知给其他应用程序,而不是写入到审计日志文件中。
  • autrace : 一个用于跟踪进程的命令。类似于 strace,跟踪某一个进程,并将跟踪的结果写入日志文件之中。

2 个配置文件: /etc/audit/auditd.conf 和/etc/audit/audit.rules 。/etc/audit/auditd.conf 是守护程序的默认配置文件。/etc/audit/audit.rules 是记录审计规则的文件。

常用命令

1,生成审计报告

aureport

常用的两个选项:

-l 报告登录信息

-m 报告账户修改信息

不加选项,生产汇总报表。

其他详见帮助文档。

日志文件路径

/var/log/audit/audit.log

个人认为配合aide使用效果更佳。

原文链接:linux中audit审计服务,转载请注明来源!

0