ICode9
精准搜索请尝试: 精确搜索
首页
编程语言>
数据库
系统相关
互联网
其他分享
Python
Java
JavaScript
android
PHP
首页 > 其他分享> 文章详细

审计日志audit

2019-08-21 22:01:28  阅读:203  来源: 互联网

标签:audit 审计 21 08 mnt 2019 日志 root


一.audit简介

    请参阅redhat说明文档: https://people.redhat.com/sgrubb/audit/

二.使用audit

    1.确认系统安装了audit服务,ubuntu执行以下命令安装

~# sudo apt-get install auditd

 

     2.启动audit服务

systemctl restart auditd

 实验

     监控/mnt目录

 auditctl -w /mnt -p rwxa -k MNT   //-w 制定监控的文件,-p制定属性rwxa ,-k 指定标识符,随意

 

     当我们操作/mnt是会产生审计日志

     

ls /mnt; touch /mnt/file
ausearch -i -k MNT  //查看监控日志

     结果如下

root@localhost:~# ausearch -i -k MNT
----
type=CONFIG_CHANGE msg=audit(2019年08月21日 21:45:48.049:42) : auid=xiao ses=1 op="add_rule" key=MNT list=exit res=yes
----
type=PROCTITLE msg=audit(2019年08月21日 21:45:57.445:43) : proctitle=ls --color=auto /mnt/
type=PATH msg=audit(2019年08月21日 21:45:57.445:43) : item=0 name=/mnt/ inode=1569793 dev=fc:00 mode=dir,755 ouid=root ogid=root rdev=00:00 nametype=NORMAL
type=CWD msg=audit(2019年08月21日 21:45:57.445:43) :  cwd=/root
type=SYSCALL msg=audit(2019年08月21日 21:45:57.445:43) : arch=x86_64 syscall=open success=yes exit=3 a0=0xcbf5e0 a1=O_RDONLY|O_NONBLOCK|O_DIRECTORY|O_CLOEXEC a2=0x0 a3=0x502 items=1 ppid=3544 pid=4611 auid=xiao uid=root gid=root euid=root suid=root fsuid=root egid=root sgid=root fsgid=root tty=pts4 ses=1 comm=ls exe=/bin/ls key=MNT
----
type=PROCTITLE msg=audit(2019年08月21日 21:47:29.402:47) : proctitle=touch /mnt/file
type=PATH msg=audit(2019年08月21日 21:47:29.402:47) : item=1 name=/mnt/file inode=1577707 dev=fc:00 mode=file,644 ouid=root ogid=root rdev=00:00 nametype=CREATE
type=PATH msg=audit(2019年08月21日 21:47:29.402:47) : item=0 name=/mnt/ inode=1569793 dev=fc:00 mode=dir,755 ouid=root ogid=root rdev=00:00 nametype=PARENT
type=CWD msg=audit(2019年08月21日 21:47:29.402:47) :  cwd=/root
type=SYSCALL msg=audit(2019年08月21日 21:47:29.402:47) : arch=x86_64 syscall=open success=yes exit=3 a0=0x7ffcfb32c8fa a1=O_WRONLY|O_CREAT|O_NOCTTY|O_NONBLOCK a2=0666 a3=0x69d items=2 ppid=3544 pid=4631 auid=xiao uid=root gid=root euid=root suid=root fsuid=root egid=root sgid=root fsgid=root tty=pts4 ses=1 comm=touch exe=/bin/touch key=MNT
root@localhost:~#

 

日志保存在

/var/log/audit/audit.log

注意点:

(1)这是临时添加的,永久设置修改配置文件

/etc/audit/rules.d/audit.rules  子配置目录
/etc/audit/audit.rules      主配置目录

完成后重启audit服务

(2)bash后临时添加失败或者写到配置文件后,重启audit服务失败

需要解固,删除修改配置文件中的-e 选项

 

标签:audit,审计,21,08,mnt,2019,日志,root
来源: https://www.cnblogs.com/linuxxl/p/11391480.html

本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享;
2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关;
3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关;
4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除;
5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。

关于我们 | 联系我们 | 留言反馈

专注分享技术,共同学习,共同进步。侵权联系[81616952@qq.com]

Copyright (C)ICode9.com, All Rights Reserved.

ICode9版权所有