centos 日志审计_CentOS7 - 审计日志
1、auditctl : 即时控制审计守护进程的行为的工具,比如如添加规则等等。
audtitctl -l #查看规则
auditctl -D #清空规则
2、aureport : 查看和生成审计报告的工具。
aureport -l #生成登录审计报告
3、ausearch : 查找审计事件的工具
ausearch -i -p 4096
4、autrace : 一个用于跟踪进程的命令。
autrace -r /usr/sbin/anacron
/etc/audit/audit.rules : 记录审计规则的文件。
/etc/audit/rules.d/ : 规则子目录,可以直接在这里面添加.rules文件生效配置
/etc/audit/auditd.conf : auditd工具的配置文件。
/var/log/audit/audit.log : 默认日志路径
1、监控文件或者目录的更改
auditctl -w /etc/passwd -p rwxa
-w path : 指定要监控的路径,上面的命令指定了监控的文件路径 /etc/passwd
-p : 指定触发审计的文件或者目录的访问权限
rwxa : 指定的触发条件,r 读取权限,w 写入权限,x 执行权限,a 属性(attr)
运行这条命令之后就开始监控了,但是机器重启之后就失效了,因此要永久生效就需要写到规则文件里面。
vim /etc/auditd/rules.d/auditd.rules
将auditctl的命令参数写到这个文件里面即可。
2、查找日志ausearch
-a number #只显示事件ID为指定数字的日志信息,如只显示926事件:ausearch -a 926
-c commond #只显示和指定命令有关的事件,如只显示rm命令产生的事件:auserach -c rm
-i #显示出的信息更清晰,如事件时间、相关用户名都会直接显示出来,而不再是数字形式
-k #显示出和之前auditctl -k所定义的关键词相匹配的事件信息
3、日志字段说明
参数说明:
time :审计时间。
name :审计对象
cwd :当前路径
syscall :相关的系统调用
auid :审计用户ID
uid和 gid :访问文件的用户ID和用户组ID
comm :用户访问文件的命令
exe :上面命令的可执行文件路径
centos 日志审计_CentOS7 - 审计日志相关推荐
- centos 日志审计_CentOS7下安全审计工具Auditd的简单使用
auditd auditd是Linux审计系统的用户空间组件,它负责将审计记录写入磁盘. 查看日志使用ausearch或aureport实用程序完成. 使用auditctl实用程序配置审核系统或加载规 ...
- centos 日志审计_CentOS7日志审计
一.用户空间审计系统简介 Linux 内核有用日志记录事件的能力,包括记录系统调用和文件访问.管理员可以检查这些日志,确定是否存在安全漏洞(如多次失败的登录尝试,或者用户对系统文件不成功的访问). L ...
- GBase 8a 的日志管理1-备份恢复日志、重分布日志、审计日志
备份恢复日志 备份恢复日志类型信息一览表: 日志名称 日志路径 日志说明 备份调度日志 $GLUSTER_BASE/log/gcluster/gcrcma n.log 集群内在每组的第一个节点上 ...
- 日志审计Graylog审计华为交换机用户登录日志
上期讲解了日志审计graylog安装,这期讲解graylog的部分实用功能的使用. 上期内容链接:https://blog.csdn.net/weixin_43886932/article/detai ...
- python日志审计系统_日志审计系统
概述 随着信息化进程的深入和互联网的迅速发展,人们的工作.学习和生活方式正在发生巨大变化,效率大为提高,信息资源得到最大程度的共享.紧随信息化发展而来的网络安全问题日渐凸出,如果不能很好地解决这个问题 ...
- 网络安全之认识日志采集分析审计系统
日志对于大家来说非常熟悉,机房中的各种系统.防火墙.交换机.路由器等等,都在不断地产生日志.无数实践告诉我们,健全的日志记录和分析系统是系统正常运营与优化以及安全事故响应的基础.我们一起来认识日志采集 ...
- 安全日志审计系统服务器,日志审计服务器
日志审计服务器 内容精选 换一换 本地使用远程桌面连接登录Windows server 2012云服务器,报错:122.112...,服务器频繁掉线,Windows登录进程意外中断.系统资源不足或不可 ...
- linux系统审计日志和数据库审计
系统审计 系统审计日志 #将下面这段内容添加在/etc/profile文件末尾,完事后执行 source /etc/profile HISTSIZE=1000 HISTTIMEFORMAT=" ...
- linux审计日志发送,Linux审计日志
最近在Linux日志中发现有如下信息: vi /var/log/messages type=CRYPTO_KEY_USER msg=audit(1448528863.866:163): user pi ...
最新文章
- 数据操作DataBaseCtrl
- 等概率随机函数的实现
- 如何取消或定制当点击GridView 的时候出现的那个黄色背景
- 记一次错误的伪静态配置文件
- 关于动态规划与备忘录方法的总结
- c语言中式如何定义变量,“新中式”住宅该怎样定义?这场跨界对话给你看建发的答案...
- 机器学习(二十八)——Monte-Carlo
- Monty Hall 问题与贝叶斯定理的理解
- ansible 基本操作(初试)
- 【Android】不依赖焦点和选中的TextView跑马灯
- @永和:为自己编码 --- 开源中国众包平台上线
- sensor曝光量和曝光行的区别_如何理解 ISO、快门、光圈、曝光这几个概念?
- 利用python通过站长之家查询ip地址归属地
- 北京信息科技大学计算机专业强不强,北京信息科技大学怎么样 2021年全国排名多少...
- html账号输入框整体透明,HTML在透明输入框里添加图标的实现代码
- 中小企业数字化转型小课堂(五)丨睿企管家-企业舆情助手
- IGWO-SVM:改良的灰狼优化算法改进支持向量机。 采用三种改进思路:两种Logistic和Tent混沌映射和采用DIH策略
- python怎么使用证书_Python使用系统SSL证书?
- 五万字长文总结 C/C++ 知识
- 笔记本usb转vga外连显示器问题解决记录