recording just for inquiry in the future

auditd审计

相关命令有： auditd, auditctl, ausearch, aureport

相关文件： /etc/audit/auditd.conf, /etc/audit/audit.rules, /var/log/audit/audit.log

主要有两种方法进行设置，一是直接使用命令auditctl, 二是在audit.rules里写跟踪监视规则

# auditctl -w /etc/passwd -p rwxa -k CFG_passwd

一般监视触发权限设为 - p wa就好， 额外的不必要的如rx， 会产生过多的审计记录

-k CFG_passwd, 设置审计规则的过滤器关键字，主要是用于ausearch -k key_string 好搜索，比如，有多个规则

去监视同一个文件或目录的时候，就可以根据-k key_string来过滤、唯一的定位要查看的规则产生的审计记录

-k key_string: ... typical use is for when you have several rules that together satisfy a security requirement

查看审计记录

可以直接查看/var/log/audit/audit.log

可以用命令 ausearch, 它 search audit records based on a certain option：

　　--event   search based on event id

　　--comm  ... command line name (comm=command)

　　-- exit    ... syscall exit code

　　--file -f   based on file name, this option is most commonly used.　　

# ausearch -f /etc/passwd的部分结果

----
time->Tue Oct 13 16:17:21 2015
type=PATH msg=audit(1444724241.720:1382): item=0 name="/etc/passwd" inode=16516438 dev=fd:00 mode=0100644 ouid=0 ogid=0 rdev=00:00
type=CWD msg=audit(1444724241.720:1382):  cwd="/root/Desktop"
type=SYSCALL msg=audit(1444724241.720:1382): arch=40000003 syscall=5 success=yes exit=3 a0=138ef8 a1=80000 a2=1b6 a3=138eb5 items=1 ppid=8010 pid=27369 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts0 ses=142 comm="vi" exe="/bin/vi" key=(null)
----
每节分几个部分的内容：

　　time： 审计时间

　　type=path : 被监视、被审计文件的路径

　　type=cwd :  表示发生审计事件时，用户所处的当前路径

　　type=syscall： 系统调用，是哪个命令触发的审计事件，用户用的是哪个命令，

　　　　上面显示中，comm="vi"表示使用的是vi命令去编辑的/etc/passwd文件，exe="/bin/vi"表示vi的路径

aureport

　　生成审计报表，根据选项生成相应方面的报表信息

　　aureport -c : 关于配置方面的审计报表信息

　　　　　　  -f, -m, -u, -l等等