4步教你學會使用Linux-Audit工具
摘要:簡單來講audit是Linux上的審計工具,可以用來記錄和監控對文件、目錄、系統資源的更改;Audit無法直接增強系統的安全性,但是它可以用於發現違反系統安全政策的行為。
本文分享自華為雲社區《Linux-Audit工具使用簡介》,作者: 雲存儲開發者支援團隊。
簡單來講audit是Linux上的審計工具,可以用來記錄和監控對文件、目錄、系統資源的更改;Audit無法直接增強系統的安全性,但是它可以用於發現違反系統安全政策的行為。
1. 查看audit服務是否起來
查看狀態:systemctl status auditd.service
開啟auditd服務:service auditd start
重啟服務:service auditd restart / service auditd reload
2. 配置需要監控的目錄
auditctl -w /var/crash/coredump
- -w path : 指定要監控的路徑,上面的命令指定了監控的文件路徑 var/crash/coredump
- -p : 指定觸發審計的文件/目錄的訪問許可權
- rwxa : 指定的觸發條件,r 讀取許可權,w 寫入許可權,x 執行許可權,a 屬性(attr)
配置方法A
配置方法B (A方法失敗)
上述回顯異常,需在audit規則內配置監控項。
查看規則:auditctl –l(若查詢不到,請重啟節點-reboot)
3.查看日誌
到/var/log/audit目錄下面。 敲這個命令行就可以:grep -rn 搜索的字元串*
grep -rn core*
4.日誌解析
/var/crash/coredump 目錄下創建了 test 文件。時間:2021-01-16 17:10:44
/var/crash/coredump 目錄下刪除了 test 文件。時間:2021-01-16 17:12:23
audit已經提供了一個更好的事件查看工具——ausearch,使用auserach -h查看下該命令的用法。
日誌參數解讀參考://blog.csdn.net/qwertyupoiuytr/article/details/58278349
附錄
- 查看auditctl命令使用規則:auditctl –h
- 查看定義的規則:auditctl –l
- 清空定義的規則:auditctl -D
時間戳轉換工具://tool.chinaz.com/Tools/unixtime.aspx
nixtime.aspx
