一、簡介
Auditd服務是一個負責日誌記錄的工具,可以記錄各種系統事件,並且可以根據配置文件篩選想要記錄的事件類型。它適用於安全審計、系統故障排查等多個方面。
二、安裝和配置
安裝並啟動auditd服務可在Linux系統上使用yum命令:
yum install audit -y systemctl start auditd.service systemctl enable auditd.service
配置文件的位置位於/etc/audit/auditd.conf,常用參數如下:
- priority_boost:調整優先順序
- max_log_file:最大日誌文件大小
- num_logs:日誌文件數量
- name_format:日誌文件命名格式
- log_file:日誌文件位置
三、日誌管理
通過配置文件,可以控制每個事件類型是否被記錄,以及記錄的日誌內容。例如:
# Record system calls -a always,exit -F arch=b64 -S execve -C uid!=euid -F euid=0 -k root_activity # Record file system events -w /etc/shadow -p wa -k sensitive_files
以上配置會在執行文件execve且不是euid為0的root用戶時記錄系統調用日誌,並在寫入/etc/shadow文件時記錄文件系統事件。
查看日誌的方法有:
- ausearch:搜索/查詢日誌
- aureport:生成日誌報告
- auditctl:動態修改配置文件
四、實例應用
以下是一個例子,將記錄所有登錄成功和失敗的信息:
# Log successful logins -a always,exit -F arch=b64 -S execve -C uid!=euid -F euid=0 -k root_activity -a always,exit -F arch=b64 -S execve -C uid!=euid -F euid=1100 -k my_activity # Log failed logins -a always,exit -F arch=b64 -S execve -C exit!=0 -F auid>=1000 -F auid!=4294967295 -k failed_logins
通過上面的配置記錄的日誌和查看日誌,可以找到哪些用戶嘗試登錄系統並且其中哪些成功了,哪些失敗了。
五、總結
Auditd服務是一個強大的系統事件日誌記錄工具,可以通過配置靈活控制記錄哪些事件類型並且可以方便地查看和分析日誌,有助於排查系統故障、提高安全性。
原創文章,作者:CPUKH,如若轉載,請註明出處:https://www.506064.com/zh-tw/n/368171.html
微信掃一掃 
支付寶掃一掃 