audit
auditctl : 即時控制審計守護進程的行為的工具,比如添加規則等等。
aureport : 查看和生成審計報告的工具。
ausearch : 查找審計事件的工具
auditspd : 轉發事件通知給其他應用程序,而不是寫入到審計日志文件中。
autrace : 一個用於跟蹤進程的命令。
/etc/audit/audit.rules : 記錄審計規則的文件。
/etc/audit/auditd.conf : auditd工具的配置文件。
1.下面開始啟動,先確認系統是否安裝了audit服務
service auditd status
ubuntu執行以下命令安裝
sudo apt-get install auditd
2.啟動audit服務
systemctl restart auditd
然后再查看服務狀態,沒問題就ok了
下面是一些相關命令
查看審計規則
auditctl -l
添加審計規則
-w path : 指定要監控的路徑,上面的命令指定了監控的文件路徑 /etc/passwd
-p : 指定觸發審計的文件/目錄的訪問權限
-k 給當前這條監控規則起個名字,方便搜索過濾
rwxa : 指定的觸發條件,r 讀取權限,w 寫入權限,x 執行權限,a 屬性(attr)
auditctl -w /etc/passwd -p rwxa
查看審計日志
ausearch -f /etc/passwd
生成簡要報告
aureport
日志文件目錄:
/var/log/audit/audit.log
注意:用 auditd 添加審計規則是臨時的,立即生效,但是系統重啟失效。
想要重啟仍然有效,需要在 /etc/audit/audit.rules 文件中添加規則,然后重啟服務:
service auditd restart
或
service auditd reload