centos 日志审计_CentOS7日志审计
一、用户空间审计系统简介
Linux 内核有用日志记录事件的能力,包括记录系统调用和文件访问。管理员可以检查这些日志,确定是否存在安全漏洞(如多次失败的登录尝试,或者用户对系统文件不成功的访问)。
Linux 用户空间审计系统由 auditd、audispd、auditctl、autrace、ausearch 和 aureport 等应用程序组成。下面依次说明:
auditctl:即时控制审计守护进程的行为的工具,如添加规则等。
auditd:audit 守护进程负责把内核产生的信息写入到硬盘上,这些信息由应用程序和系统活动触发产生。用户空间审计系统通过 auditd 后台进程接收内核审计系统传送来的审计信息,将信息写入到 /var/log/audit/audit.log。
aureport:查看和生成审计报告的工具。
ausearch:查找审计事件的工具
auditspd:转发事件通知给其他应用程序,而不是写入到审计日志文件中。
autrace:一个用于跟踪进程的命令。
audit和syslog日志系统的关系
audit 主要用来记录安全信息,用于对系统安全事件的追溯,而 syslog 用来记录系统信息,如硬件警报和软件日志等。syslog 属于应用层,没办法记录太多信息,audit 用来记录内核信息,包括文件的读写,权限的改变等。
二、auditd配置文件
vi /etc/audit/auditd.conf
# 是否记录本地事件,如果设为no,只记录来自网络的事件
local_events = yes
write_logs = yes
# 日志文件
log_file = /var/log/audit/audit.log
log_group = root
log_format = RAW
# 日志文件刷新方式,可选的选项有:
# NONE:不做特别处理
# INCREMENTAL:用freq选项的值确定多长时间发生一次向磁盘的刷新
# DATA:审计数据和日志文件是同步的
# SYNC:写日志文件时,数据和元数据是同步的
flush = INCREMENTAL_ASYNC
freq = 50
# 日志文件最大8MB
max_log_file = 8
# 日志文件数量
num_logs = 5
# 进程优先级(-4),ps axl | grep auditd 可查
priority_boost = 4
disp_qos = lossy
dispatcher = /sbin/audispd
name_format = NONE
##name = mydomain
# 当log文件达到max_log_file设定大小后的动作。可选的动作有:
# IGNORE:忽略max_log_file设置的限制,继续写log文件
# SYSLOG:向syslog中写入一条warning
# SUSPEND:auditd不再写log文件,但是auditd继续运行
# ROTATE:分多个log文件,一个log文件达到上限后在创建一个新的不同名字的log文件
max_log_file_action = ROTATE
# log_file文件所在的分区空闲空间少于这个设定的值时,触发相应的动作,单位是MB
space_left = 75
# space_left设定被触发时的动作。可选动作有:
# IGNORE, SYSLOG, SUSPEND:与前面max_log_file_action相似
# SINGLE:audit进程会将系统模式变为单用户模式
# HALT:audit进程将会触发系统关机
space_left_action = SYSLOG
verify_email = yes
action_mail_acct = root
admin_space_left = 50
admin_space_left_action = SUSPEND
# 磁盘满后触发的动作
disk_full_action = SUSPEND
# 磁盘错误触发的动作
disk_error_action = SUSPEND
use_libwrap = yes
##tcp_listen_port = 60
tcp_listen_queue = 5
tcp_max_per_addr = 1
##tcp_client_ports = 1024-65535
tcp_client_max_idle = 0
enable_krb5 = no
krb5_principal = auditd
##krb5_key_file = /etc/audit/audit.key
distribute_network = no
三、配置审计规则
auditctl命令可以控制审计系统的基本功能、设定规则等,但为了定义重启后一直有效的审计规则,需要把规则定义到 /etc/audit/rules.d/
目录下,重启auditd时, /etc/audit/rules.d/
目录下所有文件的规则会合并到 /etc/audit/audit.rules
。
预配置规则文件
在 /usr/share/doc/audit-{version}/rules/
目录下,audit根据不同的标准提供了一组预配置规则文件:
nispom.rules — 审计规则配置符合《国家行业安全程序操作运行指南》的第八章中详细说明的要求。
pci-dss-v31.rules - 审计规则配置满足第三方支付行业所设定的要求。
stig.rules — 审计规则配置满足由STIG(安全技术实施指南)所设定的要求。
如配置为nispom规则:
cp /usr/share/doc/audit-2.8.4/rules/10-base-config.rules /usr/share/doc/audit-2.8.4/rules/30-nispom.rules /usr/share/doc/audit-2.8.4/rules/99-finalize.rules /etc/audit/rules.d/
重启auditd: service auditd restart
四、审计日志内容
type=SYSCALL msg=audit(1557427974.683:2260): arch=c000003e syscall=257 success=yes exit=3 a0=ffffffffffffff9c a1=e61320 a2=90800 a3=0 items=1 ppid=31275 pid=4114 auid=1000 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts1 ses=113 comm="bash" exe="/usr/bin/bash" key="audit-logs"
type=CWD msg=audit(1557427974.683:2260): cwd="/etc/audit"
type=PATH msg=audit(1557427974.683:2260): item=0 name="/var/log/audit/" inode=101477489 dev=fc:00 mode=040700 ouid=0 ogid=0 rdev=00:00 nametype=NORMAL cap_fp=0000000000000000 cap_fi=0000000000000000 cap_fe=0 cap_fver=0
type=PROCTITLE msg=audit(1557427974.683:2260): proctitle="bash"
事件分析:
type=SYSCALL
记录类型,可以到RedHat网站查询所有类型和说明:https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/6/html/security_guide/sec-audit_record_types
msg=audit(1557427974.683:2260)
括号中为时间缀和特殊ID,如果多种记录生成为相同审核事件的一部分,那么它们可以共享相同的时间戳和ID。
后面为Kernel或用户空间提供的不同事件(name=value组)。
五、使用ausearch搜索审计日志
如:搜索登录失败的日志信息:
ausearch --message USER_LOGIN --success no --interpret
搜索内容如下:
----
type=USER_LOGIN msg=audit(2019年05月09日 09:58:07.647:537) : pid=6772 uid=root auid=unset ses=unset msg='op=login acct=root exe=/usr/sbin/sshd hostname=? addr=192.168.9.165 terminal=ssh res=failed'
----
type=USER_LOGIN msg=audit(2019年05月10日 03:06:53.549:2317) : pid=5003 uid=root auid=unset ses=unset msg='op=login acct=root exe=/usr/sbin/sshd hostname=? addr=192.168.9.166 terminal=ssh res=failed'
五、使用aureport查看审计报告
可以直接使用 aureport
命令生成概要报告,内容如下:
Summary Report
======================
Range of time in logs: 1970年01月01日 08:00:00.000 - 2019年05月10日 03:11:46.045
Selected time for report: 1970年01月01日 08:00:00 - 2019年05月10日 03:11:46.045
Number of changes in configuration: 79
Number of changes to accounts, groups, or roles: 0
Number of logins: 2
Number of failed logins: 3
Number of authentications: 7
Number of failed authentications: 16
Number of users: 3
Number of terminals: 8
Number of host names: 4
Number of executables: 14
Number of commands: 10
Number of files: 13
Number of AVC's: 0
Number of MAC events: 0
Number of failed syscalls: 812
Number of anomaly events: 0
Number of responses to anomaly events: 0
Number of crypto events: 55
Number of integrity events: 0
Number of virt events: 0
Number of keys: 9
Number of process IDs: 950
Number of events: 1935
可以通过传入参数生成不同类型的报告。
centos 日志审计_CentOS7日志审计相关推荐
- Exchange企业实战技巧(18)日志规则应用之审计邮箱
有些公司审计部门要求对公司每个员工收发邮件随时都可以进行审计,也是说随时可以审查每个员工在任何时间收发的邮件内容. 在Exchange2010中可以通过日记规则功能轻松实现.通过记录入站和出站电子邮件 ...
- 如何保障银行日志安全合规审计
日志是整个银行 IT 信息系统中非常重要的信息和数据,它对信息安全整个过程中关键记录信息的监控统计,特别针对安全事故分析.追踪起到了关键性作用. 随着网络规模的迅速扩大,加上各类应用系统逐步增多,运维 ...
- 常见安全设备总结(IDS、IPS、上网行为管理、网闸、漏扫、日志审计、数据库审计、堡垒机等)
常见安全设备总结(IDS.IPS.上网行为管理.网闸.漏扫.日志审计.数据库审计.堡垒机等) 一.网络结构 二.防火墙.IPS 1.防火墙 2.IPS 三.上网行为管理.网闸 1.上网行为管理 2.网 ...
- ABP开发框架前后端开发系列---(7)系统审计日志和登录日志的管理
我们了解ABP框架内部自动记录审计日志和登录日志的,但是这些信息只是在相关的内部接口里面进行记录,并没有一个管理界面供我们了解,但是其系统数据库记录了这些数据信息,我们可以为它们设计一个查看和导出这些 ...
- Odoo | 开源ERP,解锁审计和日志记录新玩法
目录 一.项目背景 二.Audit Log模块介绍 三.Odoo集成Audit Log 1.下载Audit Log源码到本地 2.将Audit Log集成到Odoo中 四.Audit Log使用: 1 ...
- 日志审计系统、事件日志审计、syslog审计
日志审计系统.事件日志审计.syslog审计 任何IT机构中的Windows机器每天都会生成巨量日志数据.这些日志包含可帮助您的有用信息: · 获取位于各个Windows事件日志严重性级别的所有网络活 ...
- 数据库审计和日志审计的三大区别分析
很多刚入行的运维人员不知道什么是数据库审计,什么是日志审计,两者之间又有什么区别.所以今天我们小编就给大家整理了数据库审计和日志审计的三大区别,希望加深大家的了解. 区别一.定义不同 数据库审计: 简 ...
- Linux审计与日志安全加固
审计和日志服务配置 auditctl 审计数据配置 日志文件最大参数 在储存策略(/etc/audit/audit.conf)中配置max_log_file=<MB> 当审计日志满的时候停 ...
- Linux winServer 向审计软件发送审计日志
一.日志审计系统会提供传送日志的程序,让厂商提供然后安装程序 二.系统自带的程序(Linux) 1.rsyslog 是标准Linux系统的一部分,能够实时的写日志,并且还可以将日志选择性的发送到远程日 ...
最新文章
- 黯然微信小程序杂记(二):小程序最新版登录并进行缓存模块的实现 附源码
- 计算机专业博士发论文,计算机专业本科、硕士、博士学位论文编写方法浅析
- 程序员如何缓解“电脑病”
- srwebsocket 服务器过段时间会关闭_Minecraft 开启服务器后必须做的一些事情
- ef 数据迁移mysql_Windows下重装xampp并做MySQL数据迁移的步骤
- 字符设备驱动高级篇4——设备类(自动创建和删除设备文件)相关代码分析
- 疫情攻坚战“分秒必争” 宜搭免费开放疫情相关应用
- 7-72 功夫传人 (25 分)(深搜)
- VS2010连接MySql数据库时无法选择mysql database数据源
- 江淮汽车涉嫌排放造假 罚款1.7亿
- HEVC之1 HM的使用
- 测试用例 集成测试增删改查_springBoot集成mongoDb并增删改查
- 联想重装系统去掉保护_联想硬盘保护系统,小编教你联想硬盘保护系统怎么安装...
- Android仿微信语音聊天
- [iOS、Unity、Android] 浅谈闭包的使用方法
- CSMA/CA与CSMA/CD的区别
- 简单的python装b代码_一秒学会,小白也能上手,最简单的装逼代码
- 解决IE6,IE7,IE8换行显示问题
- 魔力宝贝 - 窗口分辨率修改
- 加载Torchlight(火炬之光)的layout布局文件
热门文章
- python-视频声音根据语音识别自动转为带时间的srt字幕文件
- 渐开线齿轮传动的滑动系数
- python中字符串定义及特性
- Python基础知识3:函数、三元函数、lambda函数
- 弹塑性力学复习及整理(思维所致,随时更新)
- Digital Film Tools汉化版|Digital Film Tools DFT V1.1.3 PS特效插件WINX64
- 计算机在护士行业的应用情况,【医院护理论文】医院护理信息化实施的现状及未来分析(共3632字)...
- 机器学习的相关知识的简介
- ubuntu下在软件和更新的附加驱动处安装NVIDIA显卡驱动无法安装,应用更改不了,没反应
- c++基本数据类型基本类型: 	 	整型: 		短整型: short int 		整型: int 		长整型:long int 	 	字符型:char(分为有符号和无符号,默认有符号) 	 	浮点型: