我們知道在Linux系統(tǒng)中有大量的日志文件可以用于查看應(yīng)用程序的各種信息俏脊,但是對(duì)于用戶的操作行為(如某用戶修改刪除了某文件)卻無法通過這些日志文件來查看右钾,如果我們想實(shí)現(xiàn)監(jiān)管企業(yè)員工的操作行為就需要開啟審計(jì)功能夷磕,也就是audit。
1奖慌、首先執(zhí)行以下命令開啟auditd服務(wù)
| 1 | service auditd start |
2驮俗、接著查看看auditd的服務(wù)狀態(tài),有兩種方法可以實(shí)現(xiàn)侣集,使用auditctl命令時(shí)主要看enabled是否為1艰赞,1為開啟,0為關(guān)閉
[root@ns-master-c01 ~]``# service auditd status` |
`auditd (pid 20594) is running...
[root@ns-master-c01 ~]``# auditctl -s
| 5 | AUDIT_STATUS: enabled=1 flag=1 pid=20594 rate_limit=0 backlog_limit=320 lost=0 backlog=0 |
3肚吏、開啟了autid服務(wù)后方妖,所有的審計(jì)日志會(huì)記錄在/var/log/audit/audit.log文件中,該文件記錄格式是每行以type開頭罚攀,其中紅框處是事件發(fā)生的時(shí)間(代表從1970年1月1日到現(xiàn)在過了多久党觅,可以用date命令轉(zhuǎn)換格式)雌澄,冒號(hào)后面的數(shù)字是事件ID,同一個(gè)事件ID是一樣的杯瞻。
4镐牺、audit可以自定義對(duì)指定的文件或命令進(jìn)行審計(jì)(如監(jiān)視r(shí)m命令被執(zhí)行、/etc/passwd文件內(nèi)容被改變)魁莉,只要配置好對(duì)應(yīng)規(guī)則即可睬涧,配置規(guī)則可以通過命令行(臨時(shí)生效)或者編輯配置文件(永久生效)兩種方式來實(shí)現(xiàn)。
命令行語法(臨時(shí)生效****)****:
| 1 | auditctl -w /bin/``rm -p x -k removefile ``#-w指定所要監(jiān)控的文件或命令 |
| 2 | #-p指定監(jiān)控屬性旗唁,如x執(zhí)行畦浓、w修改 |
| 3 | #-k是設(shè)置一個(gè)關(guān)鍵詞用于查詢 |
編輯配置文件(****永久生效)****:
auditd的配置文件為/etc/audit/audit下的auditd.conf 和audit.rules,auditd.conf 主要是定義了auditd服務(wù)日志和性能等相關(guān)配置检疫,audit.rules才是定義規(guī)則的文件讶请,下面是一個(gè)例子,其實(shí)就是把a(bǔ)uditctl的命令直接拿過來即可屎媳,auditctl里支持的選項(xiàng)都可以在這個(gè)文件里指定
修改完后重啟服務(wù)
| 1 | service auditd restart |
5夺溢、如果直接使用tailf等查看工具進(jìn)行日志分析會(huì)比較麻煩,好在audit已經(jīng)提供了一個(gè)更好的事件查看工具——ausea****rch烛谊,使用auserach -h查看下該命令的用法:
這里列出幾個(gè)常用的選項(xiàng):
-a number #只顯示事件ID為指定數(shù)字的日志信息风响,如只顯示926事件:ausearch -a 926
-c commond #只顯示和指定命令有關(guān)的事件,如只顯示rm命令產(chǎn)生的事件:auserach -c rm
-i #顯示出的信息更清晰丹禀,如事件時(shí)間钞诡、相關(guān)用戶名都會(huì)直接顯示出來,而不再是數(shù)字形式
-k #顯示出和之前auditctl -k所定義的關(guān)鍵詞相匹配的事件信息
通過下圖可以看到每個(gè)事件被虛線分開湃崩,用戶名和執(zhí)行的操作也都能清晰的看到了:
6荧降、使用auditctl還可以查看和清空規(guī)則
<embed width="16" height="16" id="highlighter_638828_clipboard" type="application/x-shockwave-flash" title="復(fù)制到剪貼板" allowscriptaccess="always" wmode="transparent" flashvars="highlighterId=highlighter_638828" menu="false" src="http://www.linuxe.cn/content/plugins/et_highlighter51/scripts/clipboard.swf" style="margin: 0px; padding: 0px; outline: 0px; zoom: 1; max-width: 96%;">
摘自 http://www.linuxe.cn/post-255.html
| 1 | auditctl -l 查看定義的規(guī)則 |
| 2 | auditctl -D 清空定義的規(guī)則 |
