應用安全-安全審計日志目錄 /var/log/audit/audit.log
[root@localhost audit]# cd /etc/audit/
[root@localhost audit]# ls
auditd.conf audit.rules rules.d
添加審計規則
auditctl -w /etc/passwd -p wa
監視/etc/passwd文件被寫、修改文件屬性的操作,並記錄
auditctl -w /etc/sudoers -p wa
監視/etc/sudoers文件被寫、修改文件屬性的操作,並記錄
auditctl -w /var/lib/mysql -p wa
監視/var/lib/mysql 文件被寫、修改文件屬性的操作,並記錄
auditctl -w /var/log/secure -p wa
監視/var/log/secur 文件被寫、修改文件屬性的操作,並記錄
-w 監控文件路徑
-p 監控文件篩選 r(讀) w(寫) x(執行) a(屬性改變)
審計audit總結
#查看審計規則
#auditctl -l
#添加審計規則
#-w path : 指定要監控的路徑,上面的命令指定了監控的文件路徑 /etc/passwd
#-p : 指定觸發審計的文件/目錄的訪問權限
#-k 給當前這條監控規則起個名字,方便搜索過濾
#rwxa : 指定的觸發條件,r 讀取權限,w 寫入權限,x 執行權限,a 屬性(attr)
#auditctl -w /etc/passwd -p rwxa
#查看審計日志
#ausearch -f /etc/passwd
#生成簡要報告
#aureport
注意:用 auditd 添加審計規則是臨時的,立即生效,但是系統重啟失效。重啟仍然有效,需要在 /etc/audit/audit.rules 文件中添加規則,然后重啟服務:
service auditd restart 或者 service auditd reload