审计的目的是基于事先配置的规则生成日志,记录可能发生在系统上的事件(正常或非正常行为的事件),审计不会为系统提供额外的安全保护,但她会发现并记录违反安全策略的人及其对应的行为。

审计能够记录的日志内容:

a) 日期与事件以及事件的结果

b) 触发事件的用户

c) 所有认证机制的使用都可以被记录,如ssh等

d) 对关键数据文件的修改行为等都可以被记录

定义临时文件系统规则:

语法格式:auditctl  -w  path  -p  permission  -k  key_name

path为需要审计的文件或目录

permission权限可以是r,w,x,a(文件或目录的属性发生变化)

Key_name为可选项,给规则取名称,方便识别哪些规则生成特定的日志项

配置audit审计系统

[root@proxy ~]# yum -y  install  audit                //安装软件包

[root@proxy ~]# cat /etc/audit/auditd.conf            //查看配置文件,确定日志位置

log_file = /var/log/audit/audit.log                  //日志文件路径

[root@proxy ~]# systemctl start auditd                //启动服务,不允许restart

[root@proxy ~]# systemctl enable auditd            //设置开机自启

[root@proxy ~]# auditctl  -s                        //查询状态

[root@proxy ~]# auditctl  -l                        //查看规则

[root@proxy ~]# auditctl  -D                        //删除所有规则

auditctl -w  /etc/passwd -p wa  -k  passwd_change  //设置规则所有对passwd文件的写、属性修改操作都会被记录审计日志

auditctl  -w  /etc/selinux/  -p wa  -k  selinux_change    //设置规则,监控/etc/selinux目录

auditctl  -w  /usr/sbin/fdisk  -p  x  -k  disk_partition   //设置规则,监控fdisk程序

auditclt  -w  /etc/ssh/sshd_conf  -p warx  -k  sshd_config    //设置规则,监控sshd_conf文件

[root@proxy ~]# vim  /etc/audit/rules.d/audit.rules   //如果需要创建永久审计规则,则需要修改规则配置文件

-w /etc/passwd -p wa -k passwd_changes

-w /usr/sbin/fdisk -p x -k partition_disks

查看并分析日志

[root@proxy ~]# tailf  /var/log/audit/audit.log   //查看audit日志信息

type=SYSCALL msg=audit(1517557590.644:229228): arch=c000003e

syscall=2 success=yes exit=3

a0=7fff71721839 a1=0 a2=1fffffffffff0000 a3=7fff717204c0

items=1 ppid=7654 pid=7808 auid=0 uid=0 gid=0 euid=0 suid=0

fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts2 ses=3 comm="cat"

exe="/usr/bin/cat"

subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key="sshd_config"

.. ..

#内容分析

type为类型   //msg为(time_stamp:ID),时间是date +%s(1970-1-1至今的秒数)  //arch=c000003e,代表x86_64(16进制)

success=yes/no,事件是否成功    // a0-a3是程序调用时前4个参数,16进制编码了

ppid父进程ID,如bash //pid进程ID    // auid是审核用户的id,su - test, 依然可以追踪su前的账户  // uid,gid用户与组

tty:从哪个终端执行的命令(pts?表示远程,tty?表示本地)   // comm="cat" 用户在命令行执行的指令

exe="/bin/cat"        实际程序的路径   // key="sshd_config"    管理员定义的策略关键字key

type=CWD        用来记录当前工作目录   // cwd="/home/username"    // type=PATH

ouid(owner's user id)对象所有者id    //  guid(owner's groupid)    对象所有者id

通过工具搜索日志(ausearch)

默认程序会搜索/var/log/audit/audit.log

[root@proxy ~]# ausearch -k sshd_config -i  //根据key搜索特定日志,-i选项表示以交互式方式操作,-f 指定日志文件名(日志轮转后使用)

九、部署audit监控文件的更多相关文章

  1. springboot(十九)使用actuator监控应用【转】【补】

    springboot(十九)使用actuator监控应用 微服务的特点决定了功能模块的部署是分布式的,大部分功能模块都是运行在不同的机器上,彼此通过服务调用进行交互,前后台的业务流会经过很多个微服务的 ...

  2. Spring Boot 揭秘与实战(九) 应用监控篇 - HTTP 应用监控

    文章目录 1. 快速开始 2. 监控和管理端点3. 定制端点 2.1. health 应用健康指标 2.2. info 查看应用信息 2.3. metrics 应用基本指标 2.4. trace 基本 ...

  3. Redis高可用部署及监控

    Redis高可用部署及监控 目录                        一.Redis Sentinel简介 二.硬件需求 三.拓扑结构 .单M-S结构 .双M-S结构 .优劣对比 四.配置部 ...

  4. 基于k8s集群部署prometheus监控ingress nginx

    目录 基于k8s集群部署prometheus监控ingress nginx 1.背景和环境概述 2.修改prometheus配置 3.检查是否生效 4.配置grafana图形 基于k8s集群部署pro ...

  5. 部署zabbix监控平台(源码安装)

    案例:部署Zabbix监控平台 1 问题 本案例要求部署一台Zabbix监控服务器,一台被监控主机,为进一步执行具体的监控任务做准备: 安装LNMP环境 源码安装Zabbix 安装监控端主机,修改基本 ...

  6. CentOS 7.4 下安装部署Nagios监控系统详细攻略(三)

    Nagios是一个流行的电脑系统和网络监控程序,它检测主机和服务,当异常发生和解除时能提醒用户.它是基于GPLv2开发的开源软件,可免费获得及使用. nagios工作原理 nagios的功能是监控服务 ...

  7. Security基础(六):部署Zabbix监控平台、配置及使用Zabbix监控系统、自定义Zabbix监控项目、实现Zabbix报警功能

    一.部署Zabbix监控平台 目标: 本案例要求部署一台Zabbix监控服务器,一台被监控主机,为进一步执行具体的监控任务做准备: 在监控服务器上安装LAMP环境    修改PHP配置文件,满足Zab ...

  8. Security基础(五):部署Cacti监控平台、构建Cacti监测系统

    一.部署Cacti监控平台 目标: 本案例要求部署一台Cacti监控主机,并安装相关监控组件,为进一步执行具体的监控任务做准备: 安装net-snmp.net-snmp-utils 安装LAMP及相关 ...

  9. linux开发脚本自动部署及监控

    linux开发脚本自动部署及监控 开发脚本自动部署及监控一.编写脚本自动部署反向代理.web.nfs:要求:1.部署nginx反向代理三个web服务,调度算法使用加权轮询: #!/bin/sh ngx ...

随机推荐

  1. Day009 冒泡排序

    冒泡排序 冒泡排序无疑是最为出名的排序算法之一,总共有八大排序! 冒泡排序的代码还是相当简单的,两层循环,外层冒泡轮数,里层依次比较,江湖中人人尽皆知. 我们看到嵌套循环,应该立马就可以得出这个算法的 ...

  2. Nginx配置动静分离

    简单解释 所谓动静分离指的是当访问静态资源时,路由到一台静态资源服务器,当访问是非静态资源时,路由到另外一台服务器 配置实现 修改server块 server块配置参考,配置规则可自行修改,符合正则语 ...

  3. Spring MVC工作原理及源码解析(二)DispatcherServlet实现原理及源码解析

    1.DispatcherServlet 处理流程 从上一篇文章中Spring MVC原理图中我们可以看出:DispatcherServlet 在 Spring MVC框架 中处于核心位置,它负责协调和 ...

  4. SpringBoot系列——事件发布与监听

    前言 日常开发中,我们经常会碰到这样的业务场景:用户注册,注册成功后需要发送邮箱.短信提示用户,通常我们都是这样写: /** * 用户注册 */ @GetMapping("/userRegi ...

  5. webpack解析(1)

    webpack是为现代js程序准备的静态模块打包工具 一:关于对webpack的理解 可以将其认为是一个电脑主板,由于使用js作为源码,因而其可以默认编译js代码(别种类型的文件可以依靠loaders ...

  6. Shell $?获取函数返回值或者上一个命令的退出状态

    Shell $?获取函数返回值或者上一个命令的退出状态 来自:互联网 时间:2021-01-12 阅读:2 $? 是一个特殊变量,用来获取上一个命令的退出状态,或者上一个函数的返回值. 所谓退出状态, ...

  7. Docker------Idea连接远程并生成和上传镜像

    1.Docker开启远程访问连接 备注: 1)Linux是CentOS7版本 2)安装Docker可参考: https://www.cnblogs.com/tianhengblogs/p/125202 ...

  8. Zabbix 架构

    Zabbix 架构 1.Zabbix Server Zabblx server是agent程序报告系统可用性.系统完整性和统计数据的核心组件,是所有配置信息.统计信息和操作数据的核心存储器. 2.Za ...

  9. HTTP、TCP、UDP,Socket,HTTPS

    TCP   HTTP   UDP三者的关系如下: TCP/IP是个协议组,可分为四个层次:网络接口层.网络层.传输层和应用层. 在网络层有IP协议.ICMP协议.ARP协议.RARP协议和BOOTP协 ...

  10. 第六章 XaaS和IT服务标准

    从云计算(Cloud Computing)谈起 云计算是一种按使用量付费的模式,这种模式提供可用的.便捷的.按需的网络访问,进入可配置的计算资源共享池(资源包括网络,服务器,存储,应用软件,服务),这 ...