linux audit审计(8)--ausearch搜索audit日志文件
ausearch这个工具,可以针对指定的事件来搜索audit日志文件。默认情况下,ausearch搜索/var/log/audit/audit.log这个文件。 The ausearch utility allows you to search Audit log files ...
原文:Linux audit log分析工具---aureport、ausearch、autrace
一 概述 上一篇 理解Linux Audit Service. 我们主要解析了audit服务的结构,audit服务的配置以及如何阅读audit log各项所代表的意思。这一篇我们主要介绍如何利用audit提供的三个工具aureport ausearch autrace有针对性地去统计分析以及跟踪log日志。 二 aureport RAW类型的audit log会存放在 var log audit目 ...
2018-06-28 22:04 0 4265 推荐指数:
相关推荐
linux监控工具audit
audit是什么? audit是记录linux审计信息的内核模块。 他记录系统中的各种动作和事件,比如系统调用,文件修改,执行的程序,系统登入登出和记录所有系统中所有的事件。audit还可以将审计记录写入日志文件。 audit怎么用? audit配置文件 /etc/audit ...
linux audit审计(2)--audit启动
参考:https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/security_guide/sec-defining_audit_rules_and_controls 1、启动audit内核模块 ...
linux audit (9)--生成audit报表
aureport这个命令可以生成一个总结性的柱状图报表,默认情况下,在/var/log/audit目录下的所有日志文件都会生成一个报表,也可以使用如下命令来指定一个不同的文件,aureport options -if file_name。 1、按照时间来生成报告 ...
SElinux Audit日志分析
1 、audit2why 命令用来分析 audit.log 日志文件,并分析 SELinux 为什么会拒绝进程的访问。也就是说,这个命令显示的都是 SELinux 的拒绝访问信息,而正确的信息会被忽略。命令的格式也非常简单 ...
linux audit审计读懂audit日志
让我们先来构造一条audit日志。在home目录下新建一个目录,然后配置一条audit规则,对这个目录的wrax,都记录审计日志: root用户访问audit_test目录时,即在这个目录下ls,审计日志如下: type=SYSCALL msg=audit ...
linux audit审计(3)--audit服务配置
audit守护进程可以通过/etc/audit/auditd.conf文件进行配置,默认的auditd配置文件可以满足大多数环境的要求。 如果你的环境需要满足严格的安全规则,如下的一些配置可以参考: log_file:audit 日志放置的路径。这里放置日志的地方最好是一个独立 ...
linux audit审计(7-1)--读懂audit日志
auid=0 auid记录Audit user ID,that is the loginuid。当我使用lbh用户登录系统时,再访问audit_test,此时记录的auid为1001,具体日志如下: auid为登录用户的ID,如果是root,ID为0。并且解释 ...