audit
auditctl : 即时控制审计守护进程的行为的工具,比如添加规则等等。
aureport : 查看和生成审计报告的工具。
ausearch : 查找审计事件的工具
auditspd : 转发事件通知给其他应用程序,而不是写入到审计日志文件中。
autrace : 一个用于跟踪进程的命令。
/etc/audit/audit.rules : 记录审计规则的文件。
/etc/audit/auditd.conf : auditd工具的配置文件。
1.下面开始启动,先确认系统是否安装了audit服务
service auditd status
ubuntu执行以下命令安装
sudo apt-get install auditd
2.启动audit服务
systemctl restart auditd
然后再查看服务状态,没问题就ok了
下面是一些相关命令
查看审计规则
auditctl -l
添加审计规则
-w path : 指定要监控的路径,上面的命令指定了监控的文件路径 /etc/passwd
-p : 指定触发审计的文件/目录的访问权限
-k 给当前这条监控规则起个名字,方便搜索过滤
rwxa : 指定的触发条件,r 读取权限,w 写入权限,x 执行权限,a 属性(attr)
auditctl -w /etc/passwd -p rwxa
查看审计日志
ausearch -f /etc/passwd
生成简要报告
aureport
日志文件目录:
/var/log/audit/audit.log
注意:用 auditd 添加审计规则是临时的,立即生效,但是系统重启失效。
想要重启仍然有效,需要在 /etc/audit/audit.rules 文件中添加规则,然后重启服务:
service auditd restart
或
service auditd reload