Linux安全审计功能的实现--audit详解

实现监管企业员工的操作行为就需要开启审计功能，也就是audit，通过日志查看用户的操作行为

1、安装和开启auditd服务：

      安装：yum  install  audit  安装后默认启动    

      查看运行状态:  service  auditd  status

2、查看auditd的服务状态的另一种方式： auditctl  -s

         

   enabled为1表示开启，0表示关闭

3、服务开启后，所有的审计日志会记录在/var/log/audit/audit.log文件中

     该文件记录格式是每行以type开头，其中红框处是事件发生的时间（代表从1970年1月1日到现在过了多久，可以用date命令转换格式），冒号后面的数字是事件ID，同一个事件ID是一样的

        

4、audit可以自定义对指定的文件或命令进行审计（如监视rm命令被执行、/etc/passwd文件内容被改变），只要配置好对应规则即可，配置规则可以通过命令行（临时生效）或者编辑配置文件（永久生效）两种方式来实现

     命令行语法（临时生效）：

         auditctl  -w /bin/rm -p x -k removefile   

         -w 指定所要监控的文件或命令

         -p 指定监控属性，如x 执行、w修改

         -k 设置一个关键词用于查询

     编辑配置文件(永久生效)：

          配置文件是/etc/audit目录下的auditd.conf和audit.rules

          auditd.conf 主要是定义了auditd服务日志和性能等相关配置

audit.rules才是定义规则的文件：其实就是把auditctl的命令直接拿过来即可，auditctl里支持的选项都可以在这个文件里指定

  

修改完后重启服务：service  auditd  restart

5、事件查看工具------ausearch :

     -a number     只显示事件ID为指定数字的日志信息，如只显示926事件：ausearch -a 926

-c  commond  只显示和指定命令有关的事件，如只显示rm命令产生的事件：auserach  -c  rm

-i     显示出的信息更清晰，如事件时间、相关用户名都会直接显示出来，而不再是数字形式

-k            显示出和之前auditctl -k所定义的关键词相匹配的事件信息

如： ausearch -k editfile -i

    

6、使用auditctl可以查看和清空规则：

       auditctl  -l   查看定义的规则

       auditctl  -D   清空定义的规则