Linux-Audit工具使用简介
【摘要】 简单来讲audit是Linux上的审计工具,可以用来记录和监控对文件、目录、系统资源的更改;Audit无法直接增强系统的安全性,但是它可以用于发现违反系统安全政策的行为。
1. 查看audit服务是否起来
查看状态:systemctl status auditd.service
开启auditd服务:service auditd start
重启服务:service auditd restart / service auditd reload
2. 配置需要监控的目录
auditctl -w /var/crash/coredump
- -w path : 指定要监控的路径,上面的命令指定了监控的文件路径 var/crash/coredump
- -p : 指定触发审计的文件/目录的访问权限
- rwxa : 指定的触发条件,r 读取权限,w 写入权限,x 执行权限,a 属性(attr)
配置方法A
配置方法B (A方法失败)
上述回显异常,需在audit规则内配置监控项。
查看规则:auditctl –l(若查询不到,请重启节点-reboot)
3. 查看日志
到/var/log/audit目录下面。 敲这个命令行就可以:grep -rn 搜索的字符串*
grep -rn core*
4. 日志解析
/var/crash/coredump 目录下创建了 test 文件。时间:2021-01-16 17:10:44
/var/crash/coredump 目录下删除了 test 文件。时间:2021-01-16 17:12:23
audit已经提供了一个更好的事件查看工具——ausearch,使用auserach -h查看下该命令的用法。
日志参数解读参考:https://blog.csdn.net/qwertyupoiuytr/article/details/58278349
附录
- 查看auditctl命令使用规则:auditctl –h
- 查看定义的规则:auditctl –l
- 清空定义的规则:auditctl -D
CWD类型:
时间戳转换工具:
【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱:
cloudbbs@huaweicloud.com
- 点赞
- 收藏
- 关注作者
评论(0)