1、安装

centos:默认安装

Ubuntu:sudo apt install auditd

2、开启auditd服务

systemctl start auditd

3、查看当前auditd服务状态

systemctl status auditd

auditctl -s

4、重启auditd服务

systemctl restart auditd  或  systemctl reload auditd

5、自定义对指定文件或目录进行监视

(1)命令行语法(暂时生效,系统重启后失效):

auditctl -h   查看auditctl命令使用规则,如下:

常用监视指令示例:

auditctl -w /etc/passwd -p rwxa

-w path : 指定要监控的路径,上面的命令指定了监控的文件路径 /etc/passwd
-p : 指定触发审计的文件/目录的访问权限
-k 给当前这条监控规则起个名字,方便搜索过滤
rwxa : 指定的触发条件,r 读取权限,w 写入权限,x 执行权限,a 属性(attr)

(2)修改配置文件

auditd的配置文件为/etc/audit/audit下的auditd.conf 和audit.rules,auditd.conf 主要是定义了auditd服务日志和性能等相关配置,audit.rules才是定义规则的文件,下面是一个例子,其实就是把auditctl的命令直接拿过来即可,auditctl里支持的选项都可以在这个文件里指定。

修改之后要重启auditd服务。

6、查看监视日志

ausearch -h    查看ausearch命令使用规则,如下

ausearch -f /etc/passwd     查看对此文件夹的审计日志

7、aureport

生成简要日志报告

8、查看定义的规则

auditctl -l

9、清空定义的规则

auditctl -D

Linux:安全审计功能的实现——audit详解相关推荐

  1. java audit模块实现_Linux安全审计功能的实现——audit详解

    我们知道在Linux系统中有大量的日志文件可以用于查看应用程序的各种信息,但是对于用户的操作行为(如某用户修改删除了某文件)却无法通过这些日志文件来查看,如果我们想实现监管企业员工的操作行为就需要开启 ...

  2. linux中id命令的功能,Linux id命令参数及用法详解

    Linux id命令参数及用法详解--Linux查看当前登陆用户uid,gid. 命          令:id 功能说明:查看显示目前登陆账户的uid和gid及所属分组及用户名 语 法:id [-g ...

  3. linux中的su-命令的功能,linux su命令参数及用法详解(linux切换用户命令)

    linux su命令参数及用法详解(linux切换用户命令) 发布时间:2012-07-21 12:12:39   作者:佚名   我要评论 su的作用是变更为其它使用者的身份,超级用户除外,需要键入 ...

  4. linux基础配置脚本,Linux中selinux基础配置教程详解

    selinux(Security-Enhanced Linux)安全增强型linux,是一个Linux内核模块,也是Linux的一个安全子系统. 三种模式: Enforcing:强制模式,在selin ...

  5. ATS程序功能和使用方法详解

    转载自https://blog.zymlinux.net/index.php/archives/374 Apache Traffic Server的程序文件,与传统的服务器系统有大不同,这里我们将会对 ...

  6. Linux中/proc目录下文件详解

    Linux中/proc目录下文件详解(一) 声明:可以自由转载本文,但请务必保留本文的完整性. 作者:张子坚 email:zhangzijian@163.com 说明:本文所涉及示例均在fedora ...

  7. linux mount命令参数及用法详解

    linux mount命令参数及用法详解 非原创,主要来自 http://www.360doc.com/content/13/0608/14/12600778_291501907.shtml. htt ...

  8. Linux下Nginx编译安装过程详解

    Linux下Nginx编译安装过程详解 一.Nginx介绍 二.Nginx源码下载 1.打开Nginx官网 2.下载官网的源码包 三.Nginx源码安装 1.解压源码包 2.安装开发包组及环境 3.编 ...

  9. Linux中/proc目录下文件详解(二)

    Linux中/proc目录下文件详解(二) /proc/mdstat文件 这个文件包含了由md设备驱动程序控制的RAID设备信息. 示例: [root@localhost ~]# cat /proc/ ...

最新文章

  1. Day 20: 斯坦福CoreNLP —— 用Java给Twitter进行情感分析
  2. 【收藏】QGIS加载xyz格式地图(以高德影像图和路网为例)
  3. php 数据集转换树、递归重组节点信息多维数组(转)
  4. 【PAT甲级 补全前导0 vector作为函数参数】1025 PAT Ranking (25 分) Java、C++
  5. 通向成功的23个方法
  6. 知识图谱入门视频(三)
  7. Maven常用的命令
  8. hexo搭建个人博客_hexo 搭建个人博客
  9. 360勒索病毒补丁,不能访问共享修复
  10. LabVIEW查找范例的使用举例
  11. 浏览器打开pdf文件默认全屏设置方法
  12. windows10去桌面图标小箭头和恢复小箭头
  13. Storm Windowing(翻译)
  14. 网络工程师面试题(面试必看)(3)
  15. 折半查找判定树 二叉排序树 查找成功平均查找长度 查找失败平均查找长度
  16. Java 11中的新功能和API详解系列1
  17. 解决Tomcat启动失败:严重 [main] org.apache.catalina.util.LifecycleBase.handleSubClassException 初始化组件失败
  18. C#Ref与Out的区别
  19. 企服网:电销外呼系统线路和系统哪个更重要?
  20. PRTG Network Monitor设置邮箱告警通知

热门文章

  1. 耳鸣的治疗方法_耳鸣治疗
  2. java如何加载图形库_Java图形库
  3. HTML打开电脑摄像头
  4. Unicode 编码表
  5. UnicodeDecodeError: ‘gbk‘ codec can‘t decode byte 0xf9 in position 56: illegal multibyte sequence
  6. 3.Eclipse创建第一个Java项目
  7. 弘辽科技:店铺被判虚假交易?这样子申诉成功率百分之99
  8. 《Effective C++》
  9. 【CTR预估】简单介绍
  10. 自定义View6 -塔防小游戏:第三篇防御塔随意放置+多组野怪