Linux audit【规则设置篇】

前面两篇博文介绍了Linux audit的架构,以及守护auditd的配置。让audit真正的为我们服务,还需要配置audit的规则,也就是说我们要audit什么样的事件,具体什么事件需要audit来监控跟实际的应用有关。这里主要介绍audit的规则配置工具auditctl和文件配置方法/etc/audit/audit.rules.
     这里首先介绍auditctl的应用,具体使用指南查看man auditctl。auditctl的man 描述说明这个工具主要是用来 控制audit系统行为获取audit系统状态添加或者删除audit系统的规则。控制audit系统行为和获取audit系统状态参数:
  • -s 或者auditd 状态 auditctl -s 显示:AUDIT_STATUS: enabled=1 flag=1 pid=2792 rate_limit=0 backlog_limit=320 lost=0 backlog=0
  • -e [0|1|2] 设置audit使能标识, 0 表示临时关闭audit,1 表示启用audit,2表示锁住audit规则配置文件,这条命令一般设这在audit.rules的最后一条,任何人试图修改audit规则都会被记录,并且禁止修改。我们先运行auditctl -e 1 显示:AUDIT_STATUS: enabled=1 flag=1 pid=2792 rate_limit=0 backlog_limit=320 lost=0 backlog=0;我们运行auditctl -e 0 显示AUDIT_STATUS: enabled=0 flag=1 pid=2792 rate_limit=0 backlog_limit=320 lost=0 backlog=0 这里我们看到不同的参数只是修改了enabled项
  • -f [0|1|2]控制失败标识。也就flag位,这个位的主要作用是This option lets you determine how you want the kernel  to  handle  critical  errors
  • -r 设置速率,也就是每秒钟消息数目,非0的话如果系统在1秒钟大于设定的值,就会触发系统flag标识的行为
  • -b 设置backlog_limit
audit系统规则设置:
文件系统audit设置:
  • -w path path是一个文件或者目录的绝对路径。
  • -p [r|w|x|a] 和-w一起使用,监测用户对这个目录的读 写 执行 或者属性变化如时间戳变化。
  • -k 指定一个key,在ausearch的时候使用
系统调用的监控:
  • -a 添加一条系统调用监控规则
  • -S 后面接需要监测的系统调用的名称
显示规则和移除规则:
  • -D 删除所有规则
  • -d 删除一条规则和-a对应
  • -W 删除一条规则和-w对应

  • -l 列出所有规则

来源:http://blog.chinaunix.net/uid-20786165-id-3168258.html

你可能感兴趣的:(2015年4月,审计,linux,审计,auditd)