linux-等保测评

#查看审计规则
#auditctl -l

#添加审计规则
#auditctl -w /etc/passwd -p rwxa(注意:用 auditd 添加审计规则是临时的,立即生效,但是系统重启失效。)
#-w path : 指定要监控的路径,上面的命令指定了监控的文件路径 /etc/passwd
#-p : 指定触发审计的文件/目录的访问权限
#-k 给当前这条监控规则起个名字,方便搜索过滤
#rwxa : 指定的触发条件,r 读取权限,w 写入权限,x 执行权限,a 属性(attr)

#添加审计规则 

vi /etc/audit/rules.d/audit.rules

 添加以下规则:
####记录用户和组的修改的事件
-w /etc/group -p wa -k identity
-w /etc/passwd -p wa -k identity
-w /etc/gshadow -p wa -k identity
-w /etc/shadow -p wa -k identity
-w /etc/security/opasswd -p wa -k identity

-w /etc/passwd -p wa -k user-modify
####记录登录和登出事件
-w /var/log/lastlog -p wa -k logins
-w /var/run/faillock/ -p wa -k logins

----------------------------------------------------------

重启:

service auditd restart

#查看审计日志
#ausearch -f /etc/passwd

 #查看日志

 /var/log/audit/audit.log

cat /var/log/audit/audit.log | grep user-modify 

MYSQL添加日志

show variables like 'log_bin';

my.ini
log-bin=mysql-bin  # 开启binlog
binlog-format=row  # 使用row格式的binlog
server-id=1        # 设置server id,需要唯一
show variables like '%general_log%';
set GLOBAL  general_log=1

重启服务

你可能感兴趣的:(linux,服务器,网络)