linux的審計功能(audit)
為了滿足這樣的需求:記錄文件變化、記錄用戶對文件的讀寫,甚至記錄系統調用,文件變化通知。什么是auditThe Linux Audit Subsystem is a system to Collect information regarding events occurring ...
原文:linux下的文件審計功能(audit inotify)
為了滿足這樣的需求:記錄文件變化 記錄用戶對文件的讀寫,甚至記錄系統調用,文件變化通知。 本文介紹audit和inotify. 什么是audit The Linux Audit Subsystem is a system to Collect information regarding events occurring on the system s Kernel events syscall ...
2012-08-24 11:31 1 4834 推薦指數:
相關推薦
linux audit審計(8)--ausearch搜索audit日志文件
ausearch這個工具,可以針對指定的事件來搜索audit日志文件。默認情況下,ausearch搜索/var/log/audit/audit.log這個文件。 The ausearch utility allows you to search Audit log files ...
linux audit審計(2)--audit啟動
參考:https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/security_guide/sec-defining_audit_rules_and_controls 1、啟動audit內核模塊 ...
linux audit審計讀懂audit日志
讓我們先來構造一條audit日志。在home目錄下新建一個目錄,然后配置一條audit規則,對這個目錄的wrax,都記錄審計日志: root用戶訪問audit_test目錄時,即在這個目錄下ls,審計日志如下: type=SYSCALL msg=audit ...
linux audit審計(3)--audit服務配置
audit守護進程可以通過/etc/audit/auditd.conf文件進行配置,默認的auditd配置文件可以滿足大多數環境的要求。 如果你的環境需要滿足嚴格的安全規則,如下的一些配置可以參考: log_file:audit 日志放置的路徑。這里放置日志的地方最好是一個獨立 ...
linux audit審計(7-1)--讀懂audit日志
auid=0 auid記錄Audit user ID,that is the loginuid。當我使用lbh用戶登錄系統時,再訪問audit_test,此時記錄的auid為1001,具體日志如下: auid為登錄用戶的ID,如果是root,ID為0。並且解釋 ...
linux audit審計(7)--讀懂audit日志
讓我們先來構造一條audit日志。在home目錄下新建一個目錄,然后配置一條audit規則,對這個目錄的wrax,都記錄審計日志: root用戶訪問audit_test目錄時,即在這個目錄下ls,審計日志如下: type=SYSCALL msg=audit ...
linux audit審計(5)--audit規則配置
audit可以配置規則,這個規則主要是給內核模塊下發的,內核audit模塊會按照這個規則獲取審計信息,發送給auditd來記錄日志。 規則類型可分為: 1、控制規則:控制audit系統的規則; 2、文件系統規則:也可以認為是文件監控,可以監控一個特定文件或者一個路徑。 3、系統調用 ...