linux下审计工具auditd

/ 0评 / 0

auditd简介
auditd(或 auditd 守护进程)是Linux审计系统中用户空间的一个组件,其负责将审计记录写入磁盘。
这个工具在大多数Linux操作系统中是默认安装的,如果没有安装,可以通过yum install audit -y或者apt-get install auditd进行安装

相关配置说明
auditctl : 即时控制审计守护进程的行为的工具,比如如添加规则等等。
/etc/audit/audit.rules : 记录审计规则的文件。
aureport : 查看和生成审计报告的工具。
ausearch : 查找审计事件的工具
auditspd : 转发事件通知给其他应用程序,而不是写入到审计日志文件中。
autrace : 一个用于跟踪进程的命令。
/etc/audit/auditd.conf : auditd工具的配置文件。

auditctl
-l 查看审计规则
-k 筛选字符串,用于查询监控日志
-w path : 指定要监控的路径,上面的命令指定了监控的文件路径 /etc/passwd
-p : 指定触发审计的文件/目录的访问权限
rwxa : 指定的触发条件,r 读取权限,w 写入权限,x 执行权限,a 属性(attr)

ausearch
-f 设定ausearch 调出 /etc/passwd文件的审计内容
输出结果解读
time : 审计时间。
name : 审计对象
cwd : 当前路径
syscall : 相关的系统调用
auid : 审计用户ID
uid 和 gid : 访问文件的用户ID和用户组ID
comm : 用户访问文件的命令
exe : 上面命令的可执行文件路径

建议在使用过程中通过/var/auditd/auditd.log日志来分析,里面的信息更为详细,日志路径可以在/etc/audit/auditd.conf来配置

发表评论

电子邮件地址不会被公开。 必填项已用*标注