介紹

Auditd工具可以幫助運維人員審計Linux。這個工具在大多數Linux操作系統中是默認安裝的，是Linux審計系統中用戶空間的一個組件，其負責將審計記錄寫入磁盤。

安裝$?apt-get?install?auditd

or

$?yum?-y?install?audit?auditd-libs

相關命令

auditctl : 即時控制審計守護進程的行為的工具，比如如添加規則等等$?sudo?auditctl?-l#查看規則

$?sudo?auditctl?-D#清空規則

aureport：查看和生成審計報告的工具。$?aureport?-l

#生成登錄審計報告

ausearch：查找審計事件的工具ausearch?-i?-p?4096

autrace：一個用于跟蹤進程的命令。autrace?-r?/usr/sbin/anacron

相關文件/etc/audit/audit.rules?:?記錄審計規則的文件。

/etc/audit/rules.d/?:?規則子目錄，可以直接在這里面添加.rules文件生效配置

/etc/audit/auditd.conf?:?auditd工具的配置文件。

/var/log/audit/audit.log?:?默認日志路徑

簡單使用

0、目錄審計

使用類似的命令來對目錄進行審計，如下：sudo?auditctl?-w?/production/

以上命令將監控對 /production 目錄 的所有訪問。

1、監控文件或者目錄的更改auditctl?-w?/etc/passwd?-p?rwxa

-w path : 指定要監控的路徑，上面的命令指定了監控的文件路徑 /etc/passwd

-p : 指定觸發審計的文件或者目錄的訪問權限

rwxa ： 指定的觸發條件，r 讀取權限，w 寫入權限，x 執行權限，a 屬性(attr)

運行這條命令之后就開始監控了，但是機器重啟之后就失效了，因此要永久生效就需要寫到規則文件里面。

vim /etc/auditd/rules.d/auditd.rules

將auditctl的命令參數寫到這個文件里面即可。

2、查找日志ausearch-a?number?#只顯示事件ID為指定數字的日志信息，如只顯示926事件：ausearch?-a?926

-c?commond?#只顯示和指定命令有關的事件，如只顯示rm命令產生的事件：auserach?-c?rm

-i?#顯示出的信息更清晰，如事件時間、相關用戶名都會直接顯示出來，而不再是數字形式

-k?#顯示出和之前auditctl?-k所定義的關鍵詞相匹配的事件信息

3、日志字段說明參數說明：time?:審計時間。

name?:審計對象

cwd?:當前路徑

syscall?:相關的系統調用

auid?:審計用戶ID

uid和?gid?:訪問文件的用戶ID和用戶組ID

comm?:用戶訪問文件的命令

exe?:上面命令的可執行文件路徑

4、查看審計日志

添加規則后，我們可以查看 auditd 的日志。使用 ausearch 工具可以查看auditd日志。

可以使用 ausearch 工具的以下命令來查看審計日志了。$?sudo?ausearch?-f?/etc/passwd

-f 設定ausearch 調出 /etc/passwd文件的審計內容

5、使用以下命令查看授權失敗的詳細信息：$?sudo?aureport?-au

6、如果我們想看所有賬戶修改相關的事件，可以使用-m參數。$?sudo?aureport?-m

Auditd 配置文件

我們已經添加如下規則：$?sudo?auditctl?-w?/etc/passwd?-p?rwxa

$?sudo?auditctl?-w?/production/

現在，如果確信這些規則可以正常工作，我們可以將其添加到/etc/audit/audit.rules中使得規則永久有效。以下介紹如何將他們添加到/etc/audit/audit.rules中去。

別忘了重啟auditd守護程序#?/etc/init.d/auditd?restart

或

#?service?auditd?restart

總結

Auditd是Linux上的一個審計工具。你可以閱讀auidtd文檔獲取更多使用auditd和工具的細節。例如，輸入 man auditd 去看auditd的詳細說明，或者鍵入 man ausearch 去看有關 ausearch 工具的詳細說明。

總結

以上是生活随笔為你收集整理的centos 日志审计_Linux\CentOS中auditd安全审计工具的使用的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。