centos 日志审计_CentOS7下安全审计工具Auditd的简单使用

auditd

auditd是Linux审计系统的用户空间组件，它负责将审计记录写入磁盘。

查看日志使用ausearch或aureport实用程序完成。

使用auditctl实用程序配置审核系统或加载规则。

在auditd启动期间，/etc/audit/audit.rules 中的审计规则由auditctl读取并加载到内核中。

或者还有一个 augenrules程序，读取/etc/audit/rules.d/中的规则并将其编译成audit.rules 审计规则文件中。

审计守护进程本身 有一些配置选项可以让管理员进行自定义配置

auditd相关工具与配置文件

auditctl : 即时控制审计守护进程的行为的工具，比如如添加规则等等

aureport : 查看和生成审计报告的工具

ausearch : 查找审计事件的工具

auditspd : 转发事件通知给其他应用程序，而不是写入到审计日志文件中

autrace : 一个用于跟踪进程的命令

/etc/audit/auditd.conf : auditd工具的配置文件

/etc/audit/rules.d/audit.rules：包含审核规则的文件

/etc/audit/audit.rules : 记录审计规则的文件

auditd的使用

1、安装auditd服务

CentOS7系统默认安装了audit服务

rpm -aq