使用audit工具常规命令监控系统访问文件
audit工具的作用
audit工具可以对文件使用进行监控,可以监控是哪个进程对文件进行读写执行和atrribute属性修改。在常规运维中有很多作用。
audit工具的安装和启动
Ubuntu使用apt-get audit。centos使用yum install audit
下面命令enable和启动、停止auditd
systemctl enable auditd
Systemctl start auditd
Service auditd restart //在centos7.x上当auditd启动以后,
//auditd配置拒绝使用systemctl stop、restart 。只能使用service命令
Service auditd stop
audit工具的使用
audit关键组件
- auditctl audit配置工具
- ausearch audit结果查找工具
- aureport report工具
- autrace 跟踪工具,对一个进程进行跟踪类似于strace
- auditd进程
- /etc/audit/rules.d/audit.rules auditd进程启动后会从此处读去配置
- /var/log/audit/audit.log audit详细日志都记录在此处
audit 常规使用方法
使用audit监控文件的读写访问
- auditctl工具添加规则
auditctl添加的规则每次audit服务重启后就消失了。
auditctl -l //查看当前生效的audit规则
Auditctl -w /home/zxy -p wxra // 参数-w对某个文件、目录进行监控,-p后面跟着是规则 w 写入 r 读 x 执行 a修改属性
auditctl -W /home/zxy //参数-W对某个文件、目录取消监控
auditctl 添加的规则也可以写入到/etc/audit/rules.d/audit.rules 文件最尾巴上,它可以保证每次audit服务重启后,规则还有效。
- ausearch 查找规则监控的结果
正常情况下audit启动后会出现大量的监控日志,可以使用ausearch 对日志进行过滤只显示感兴趣的项目
Ausearch -f zxy.txt //在日志中过滤出所有和zxy.txt相关的项目
- audit输出项说明
| 字段 | 用途 | 其他 |
|---|---|---|
| Time | 审计时间 | na |
| name | 审计对象 | na |
| cwd | 访问发起的当前路径 | na |
| syscall | 发起访问的系统调用号 | 在linux系统的unistd.h中有记录系统调用号 |
| ppid | 父进程id | na |
| pid | 进程id | na |
| uid | 访问文件的用户id | 0号表示root用户 |
| gid | 访问文件的用户组id | 0号表示root用户组 |
| com | 访问的用户命令 | na |
| exe | 访问的用户命令的全路径 | na |
使用audit工具常规命令监控系统访问文件相关推荐
- win10家庭版访问域文件服务器拒绝,win10系统访问文件提示拒绝你访问该文件夹的原因和解决方法...
win10系统经常要打开和操作一些文件,但偶尔会弹出"拒绝你访问该文件夹.若要访问该文件夹的权限,你需要使用..."的提示,造成无法打不开,这究竟是哪里了出现问题?通常是因为没有权 ...
- linux系统访问文件夹ls,Linux系统目录结构,文件类型以及ls、alias命令
一.Linux目录结构 登录系统之后,在当前命令窗口输入以下指令,/是Linux操作系统里最核心的一个目录,所有的文件和目录全部在它下面,所以称为"根目录": # ls / //列 ...
- 服务器目标文件夹访问被拒绝,win10系统访问文件夹被拒绝怎么办_网站服务器运行维护...
linux 无法启动mysql怎么办_网站服务器运行维护 linux无法启动mysql的解决办法:首先直接进入"/etc/my.cnf":然后重启mysql:最后执行命令" ...
- Stack Overflow 监控系统内部架构初探
Stack Exchange 架构主管 Nick Craver 在最近的一篇文章中介绍了他们的监控系统.他在文章中讨论了监控策略背后的理念和动机,并介绍了他们的工具集--主要是 Bosun.Grafa ...
- Stack Overflow监控系统内部架构初探
Stack Exchange架构主管Nick Craver在最近的一篇文章中介绍了他们的监控系统.他在文章中讨论了监控策略背后的理念和动机,并介绍了他们的工具集--主要是Bosun.Grafana和O ...
- lepus监控oracle数据库_一文看懂lepus天兔数据库监控系统如何搭建
概述 前面框架搭好后,这里就可以开始部署lepus了,下面一起来看看吧~ 1.安装Lepus采集器 1.下载软件安装包 # cd /usr/local # git clone https://gith ...
- cmd cd命令_Windows系统CMD命令提示符的常用命令汇总
一.概述 本期文章分享Window 系统CMD命令提示符的常用命令汇总,结合具体的使用场景,向各位小伙伴分享关于Window操作系统系统管理.磁盘管理.文件管理.进程任务管理.网络管理和常用工具等命令 ...
- 节点光端机在高速公路监控系统中的应用介绍
一.高速公路监控系统前景展望 自1988年中国第一条高速公路--全长15.9公里的沪嘉高速公路建成通车以来,中国高速公路建设开始向世界前列高速发展,截止2008年年底全国高速公路通车总里程达到6.03 ...
- 简单的Linux操作命令,Linux系统简单文件操作命令
项目 内容 作业课程归属 学号-姓名 17041419-刘金林 作业学习目标 1)学习Linux的基本操作命令:2)在终端上运用命令行去实现基本文件操作 1.查看当前目录 问:提示符$与#的区别? 答 ...
最新文章
- JS配合css实现slide文字框缩放伸展效果
- 【Cocos2d-X(2.x) 游戏开发系列之三】最新版本cocos2d-2.0-x-2.0.2使用资源加载策略
- 刚刚,阿里开源了一项重磅炸弹,终结程序员“中年危机”!
- c语言数组方式实现静态循环队列
- ivx中字体显示_html-中文字体在CSS中的显示(Unicode编码)(转载)
- java语法糖效率高吗_打包 Java将持续向“高糖”方向发展,你真的了解Java语法糖吗? _好机友...
- Swift基础语法学习-4.Bool类型
- C语言中浮点数在内存中的存储方式
- 讲讲NVivo11的版本细节
- EtherCAT之TwinCAT3安装、使用
- 微信线下门店二维码扫码支付和退款
- 电脑退域后登陆不上_退域后加域不成功问题
- 鸿蒙使用体验 2.0,鸿蒙的到来与华为的破局
- 《笑傲江湖》清心普善咒——曲谱(琴箫合奏曲)
- 基于SpringBoot的宿舍管理系统
- [NOIP2017模拟]permut
- c语言星座图原理,通信原理中星座图详解
- 2022-2028年全球与中国采油树阀行业市场前瞻与投资战略规划分析
- Android中action的定义
- 2020年7月大学英语六级作文