centos 日志审计_Linux\CentOS中auditd安全审计工具的使用

介绍

Auditd工具可以帮助运维人员审计Linux。这个工具在大多数Linux操作系统中是默认安装的，是Linux审计系统中用户空间的一个组件，其负责将审计记录写入磁盘。

安装$ apt-get install auditd

or

$ yum -y install audit auditd-libs

相关命令

auditctl : 即时控制审计守护进程的行为的工具，比如如添加规则等等$ sudo auditctl -l#查看规则

$ sudo auditctl -D#清空规则

aureport：查看和生成审计报告的工具。$ aureport -l

#生成登录审计报告

ausearch：查找审计事件的工具ausearch -i -p 4096

autrace：一个用于跟踪进程的命令。autrace -r /usr/sbin/anacron

相关文件/etc/audit/audit.rules : 记录审计规则的文件。

/etc/audit/rules.d/ : 规则子目录，可以直接在这里面添加.rules文件生效配置

/etc/audit/auditd.conf : auditd工具的配置文件。

/var/log/audit/audit.log : 默认日志路径

简单使用

0、目录审计

使用类似的命令来对目录进行审计，如下：sudo auditctl -w /production/

以上命令将监控对 /production 目录 的所有访问。

1、监控文件或者目录的更改auditctl -w /etc/passwd -p rwxa

-w path : 指定要监控的路径，上面的命令指定了监控