讓我們先來構造一條audit日志。在home目錄下新建一個目錄，然后配置一條audit規則，對這個目錄的wrax，都記錄審計日志： root用戶訪問audit_test目錄時，即在這個目錄下ls，審計日志如下： type=SYSCALL msg=audit ...

參考：https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/security_guide/sec-defining_audit_rules_and_controls 1、啟動audit內核模塊 ...

audit可以配置規則，這個規則主要是給內核模塊下發的，內核audit模塊會按照這個規則獲取審計信息，發送給auditd來記錄日志。 規則類型可分為： 1、控制規則：控制audit系統的規則； 2、文件系統規則：也可以認為是文件監控，可以監控一個特定文件或者一個路徑。 3、系統調用 ...

時間 2018-12-23 08:01:11 FreeBuf 原文 https://www.freebuf.com/articles/es/192062.ht ...

audit守護進程可以通過/etc/audit/auditd.conf文件進行配置，默認的auditd配置文件可以滿足大多數環境的要求。 如果你的環境需要滿足嚴格的安全規則，如下的一些配置可以參考： log_file：audit 日志放置的路徑。這里放置日志的地方最好是一個獨立 ...

audit的規則配置稍微不當，就會短時間內產生大量日志，所以這個規則配置一定要當心。當audit日志寫滿后，可以看到如下場景： 然后在messages日志中有一大堆的warning 之后可能還會影響rsyslog的正常工作。 auditd本身有日志切分的功能，auditd ...

auid=0 　　auid記錄Audit user ID,that is the loginuid。當我使用lbh用戶登錄系統時，再訪問audit_test，此時記錄的auid為1001，具體日志如下： auid為登錄用戶的ID，如果是root，ID為0。並且解釋 ...

我們使用測試性能的工具，unixbench，它有一下幾項測試項目： 測試結果類似如下： 測試了/boot/grub2/grub.cfg 中audit=0，和去除audit=0，以及開啟auditd服務等的性能數據： 1、內核參數去掉audit=0,auditd服務 ...

aureport這個命令可以生成一個總結性的柱狀圖報表，默認情況下，在/var/log/audit目錄下的所有日志文件都會生成一個報表，也可以使用如下命令來指定一個不同的文件，aureport options -if file_name。 1、按照時間來生成報告 ...

一、概述 Linux audit通過分析系統上正在發生的細節信息，能夠有效幫助您提高系統的安全。但是，它本身不提供額外的安全性保障----它不會保護你的系統免受代碼故障或者任何類型的漏洞攻擊。Audit服務對跟蹤這些安全問題非常有用，並且有效幫助我們采取何種針對性的安全措施。 Audit由幾個 ...