审计日志audit

2024-03-19 17:13:28

一.audit简介

    请参阅redhat说明文档: https://people.redhat.com/sgrubb/audit/

二.使用audit

    1.确认系统安装了audit服务,ubuntu执行以下命令安装

~# sudo apt-get install auditd

 

     2.启动audit服务

systemctl restart auditd

 实验

     监控/mnt目录

 auditctl -w /mnt -p rwxa -k MNT   //-w 制定监控的文件,-p制定属性rwxa ,-k 指定标识符,随意

 

     当我们操作/mnt是会产生审计日志

     

ls /mnt; touch /mnt/file
ausearch -i -k MNT  //查看监控日志

     结果如下

root@localhost:~# ausearch -i -k MNT
----
type=CONFIG_CHANGE msg=audit(2019年08月21日 21:45:48.049:42) : auid=xiao ses=1 op="add_rule" key=MNT list=exit res=yes
----
type=PROCTITLE msg=audit(2019年08月21日 21:45:57.445:43) : proctitle=ls --color=auto /mnt/
type=PATH msg=audit(2019年08月21日 21:45:57.445:43) : item=0 name=/mnt/ inode=1569793 dev=fc:00 mode=dir,755 ouid=root ogid=root rdev=00:00 nametype=NORMAL
type=CWD msg=audit(2019年08月21日 21:45:57.445:43) :  cwd=/root
type=SYSCALL msg=audit(2019年08月21日 21:45:57.445:43) : arch=x86_64 syscall=open success=yes exit=3 a0=0xcbf5e0 a1=O_RDONLY|O_NONBLOCK|O_DIRECTORY|O_CLOEXEC a2=0x0 a3=0x502 items=1 ppid=3544 pid=4611 auid=xiao uid=root gid=root euid=root suid=root fsuid=root egid=root sgid=root fsgid=root tty=pts4 ses=1 comm=ls exe=/bin/ls key=MNT
----
type=PROCTITLE msg=audit(2019年08月21日 21:47:29.402:47) : proctitle=touch /mnt/file
type=PATH msg=audit(2019年08月21日 21:47:29.402:47) : item=1 name=/mnt/file inode=1577707 dev=fc:00 mode=file,644 ouid=root ogid=root rdev=00:00 nametype=CREATE
type=PATH msg=audit(2019年08月21日 21:47:29.402:47) : item=0 name=/mnt/ inode=1569793 dev=fc:00 mode=dir,755 ouid=root ogid=root rdev=00:00 nametype=PARENT
type=CWD msg=audit(2019年08月21日 21:47:29.402:47) :  cwd=/root
type=SYSCALL msg=audit(2019年08月21日 21:47:29.402:47) : arch=x86_64 syscall=open success=yes exit=3 a0=0x7ffcfb32c8fa a1=O_WRONLY|O_CREAT|O_NOCTTY|O_NONBLOCK a2=0666 a3=0x69d items=2 ppid=3544 pid=4631 auid=xiao uid=root gid=root euid=root suid=root fsuid=root egid=root sgid=root fsgid=root tty=pts4 ses=1 comm=touch exe=/bin/touch key=MNT
root@localhost:~#

 

日志保存在

/var/log/audit/audit.log

注意点:

(1)这是临时添加的,永久设置修改配置文件

/etc/audit/rules.d/audit.rules  子配置目录
/etc/audit/audit.rules      主配置目录

完成后重启audit服务

(2)bash后临时添加失败或者写到配置文件后,重启audit服务失败

需要解固,删除修改配置文件中的-e 选项

 

上一篇:Docker中部署前后端分离项目(vue+springboot)(一)


下一篇:MySQL审计插件使用