Linux 审计工具 auditd 命令
auditd 审计工具 ,常用来对文件修改进行监听,如 监听那个进程修改了 .ssh/authorized_keys
这个工具在大多数Linux操作系统中是默认安装的。CentOS 默认安装。Ubuntu 安装:apt-get install auditd。
安装完毕后将自动安装以下auditd和相关的工具:
auditctl : 即时控制审计守护进程的行为的工具,比如添加规则等等。
/etc/audit/audit.rules : 记录审计规则的文件。
aureport : 查看和生成审计报告的工具。
ausearch : 查找审计事件的工具
auditspd : 转发事件通知给其他应用程序,而不是写入到审计日志文件中。
autrace : 一个用于跟踪进程的命令。
/etc/audit/auditd.conf : auditd工具的配置文件。
实例:
#查看审计规则
#auditctl -l
#添加审计规则
#-w path : 指定要监控的路径,上面的命令指定了监控的文件路径 /etc/passwd
#-p : 指定触发审计的文件/目录的访问权限
#-k 给当前这条监控规则起个名字,方便搜索过滤
#rwxa : 指定的触发条件,r 读取权限,w 写入权限,x 执行权限,a 属性(attr)
#auditctl -w /etc/passwd -p rwxa
#查看审计日志
#ausearch -f /etc/passwd
#生成简要报告
#aureport- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
日志文件目录:
/var/log/audit/audit.log
注意:用 auditd 添加审计规则是临时的,立即生效,但是系统重启失效。重启仍然有效,需要在 /etc/audit/audit.rules 文件中添加规则,然后重启服务:
service auditd restart 或者 service auditd reload