1. 如何安装
yum -y install audit
rpm -q audit
2. 获取帮助命令
3 启动和停止 Audit 服务
service auditd start
service auditd stop
systemctl enable auditd
systemctl status auditd
4. Audit 语法基础
5. auditctl 命令常见选项
auditctl -w /var/run/faillock -p wa -k LOGINF #监视 `/var/run/faillock` 文件的写和属性更改,并将事件添加 `LOGINF` 关键字
auditctl -a always,exit -F path=/etc/shadow -F perm=wa #监控对 `/etc/shadow` 文件的写操作和属性更改操作
-w /var/run/faillock -p wa -k LOGINF
service auditd reload
6. 默认审计日志路径及存储修改
编辑 /etc/audit/auditd.conf 文件,找到 log_file 选项,并将其值更改为新的路径:
log_file = /new/path/to/audit.log
在配置文件中,找到 max_log_file 和 max_log_file_action 这两个选项。
systemctl restart auditd
7. 查看 Audit 记录的日志
ausearch -f /var/run/faillock
ausearch -k LOGINF
ausearch -ts yesterday -te now
aureport -l
aureport -f
aureport -r /path/to/audit.log
aureport -i
原文始发于微信公众号(网络个人修炼):CentOS 系统审计(Audit)入门指南
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论