linux中的audit审计⽇志
这⾥⾸先介绍auditctl的应⽤,具体使⽤指南查看man auditctl。auditctl的man 描述说明这个⼯具主要是⽤来控制audit系统⾏为,获取audit 系统状态,添加或者删除audit系统的规则。控制audit系统⾏为和获取audit系统状态参数:
-s 或者auditd 状态 auditctl -s 显⽰:AUDIT_STATUS: enabled=1 flag=1 pid=2792 rate_limit=0 backlog_limit=320 lost=0 backlog=0
-e [0|1|2] 设置audit使能标识, 0 表⽰临时关闭audit,1 表⽰启⽤audit,2表⽰锁住audit规则配置⽂件,这条命令⼀般设这在audit.rules的最后⼀条,任何⼈试图修改audit规则都会被记录,并且禁⽌修改。
-f [0|1|2]控制失败标识。也就flag位,这个位的主要作⽤是This option lets you determine how you want the kernel to handle critical errors -r 设置速率,也就是每秒钟消息数⽬,⾮0的话如果系统在1秒钟⼤于设定的值,就会触发系统flag标识的⾏为
自制芝麻酱
-b 设置backlog_limit
audit系统规则设置:
⽂件系统audit设置:
-w path path是⼀个⽂件或者⽬录的绝对路径。
-p [r|w|x|a] 和-w⼀起使⽤,监测⽤户对这个⽬录的读写执⾏或者属性变化如时间戳变化。
-k 指定⼀个key,在auarch的时候使⽤打乒乓球的英语
中国外汇管制系统调⽤的监控:沧州特色美食
-a 添加⼀条系统调⽤监控规则
情侣-S 后⾯接需要监测的系统调⽤的名称
显⽰规则和移除规则:
中秋节的成语-D 删除所有规则
-d 删除⼀条规则和-a对应
-W 删除⼀条规则和-w对应
-l 列出所有规则
-
s
根据名称或数字指定⼀个系统。要指定所有系统调⽤,可使⽤all作为系统调⽤名称。如果程序使⽤了这个系统调⽤,则开始⼀个审计记录。可以为相同的规则指定多个系统调⽤,每个系统调⽤必须⽤-S启动。在相同的规则中指定多个系统,⽽不是列出单独的规则,这样可以导致更好的性能,因为只需要评价⼀个规则。婴儿溢奶
- F ,<=]value>
指定⼀个规则字段。如果为⼀个规则指定了多个字段,则只有所有字段都为真才能启动⼀个审计记录。每个规则都必须⽤-F启动,最多可以指定64个规则。如果⽤⽤户名和组名作为字段,⽽不是⽤UID和GID,则会将它们解析为UID和GID以进⾏匹配。下⾯是有效的字段名:
auditctl -w /tmp -p e -k webrver_watch_tmp
-w 监控⽂件路径 /etc/passwd,
-p 监控⽂件筛选 r(读) w(写) x(执⾏) a(属性改变)
-k 筛选字符串,⽤于查询监控⽇志
auditctl -a entry,always -S all -F pid=1005
-S 监控系统调⽤
-F 给出更多监控条件(pid/path/egid/euid等)
可以⽤此命令查看⽇志:
auarch -f /etc/passwd -x rm
-k 利⽤auditctl指定的key查询
-x 执⾏程序
# auarch -ts today -k password-file
校园新风尚# auarch -ts 3/12/07 -k password-file
-ts 指定时间后的log (start time)
-te 指定时间前的log (end time)
always
分配审计上下⽂,总是把它填充在系统调⽤条⽬中,总是在系统调⽤退出时写⼀个审计记录。
exit
从系统调⽤中退出值。
-S
报告关于系统调⽤的消息
