audit   ['ɔːdɪt]  审计

auditd是linux的一个审计服务。

这是man下的解释

auditd is the userspace component to the Linux Auditing System. It’s
responsible for writing audit records to the disk. Viewing the logs is
done with the ausearch or aureport utilities. Configuring the audit
rules is done with the auditctl utility. During startup, the rules in
/etc/audit/audit.rules are read by auditctl. The audit daemon itself
has some configuration options that the admin may wish to customize.
They are found in the auditd.conf file.

安全审计包含了两个部分,其一是:audit审计服务,其二是:syslog日志系统。

他们的关系如下:

audit服务专门用来记录安全信息,用于对系统安全事件的追溯;

syslog日志系统用来记录系统中的各种信息,如安全、调试、运行信息等;

如果audit服务没有运行,linux内核就会将安全审计信息传递给syslog日志系统。

syslog会记录系统状态、如硬件的警告和应用软件的记录等。但是syslog属于应用层,且仅止于此一应用而已,没办法记录太多的资讯。因此,audit诞生以取代syslog的责任,来记录核心层的时间:档案的读写,系统呼叫,权限的状态等。

audit daemon运作和一般的deamon一样,运行后会引入selinux的系统。

audit有三个操作的工具

audit可用的三个指令:

=》auditctl  控制kernel audit system,能取得状态,增加或者删除rules、设定某个档案的[检视]watch.

=》ausearch 用来查询audit logs 的工具。

=》aureport 产生audit系统简报的工具。

配置文件

audit的配置文件为/etc/audit/audit.rules主要分为三种类别:

·basic audit system parameters

·file and directory watches

·system call audits

#basic audit system parameters

这个是一些audit的整体全局参数设置

#file and directory watches

这个是目录权限的设置以及是否可以查看某个目录或者文件

#system call audits

这个是用来系统调用的规则配置

对于配置文件有几点要说明一下:

1.目录观察的详细度要比文件观察低。

2.无法使用任何的pathname globbing,如?或者*

3.只能配置已经存在的文件,若配置观察目录而又新增了文件,则新文件只会在下次audit重启后才会加入。

利用-k产生key string 以供ausearch直接索引

-w /etc/var/log/audit/ -k LOG_audit

操作命令

重启audit

#service auditd restart

更新auditd

#yum update audit

检查文件和系统的更改状态

#aureport --start today --event --summary -i

查询单一文件

#ausearch -f filename

利用-ts指定日期-k指定key string,其中password-file使用auditctl -k来产生。

#ausearch -ts today -k password-file

#ausearch -ts 3/12/07 -k password-file

-ui来指定user name(UID),例如找出(uid 516)的操作

#ausearch -ts today -k password-file -x rm -ui 516

#ausearch -k passwork-file -ui 516

转自:http://note.tc.edu.tw/601.html

linux下的audit服务的更多相关文章

  1. linux下的crontab服务

    linux下的crontab服务:1.crontab 是用来让使用者在固定时间或固定间隔执行程序之用在linux平台上如果需要实现任务调度功能可以编写cron脚本来实现.以某一频率执行任务linux缺 ...

  2. linux下svn(subversion)服务端添加工程及配置权限

    linux下svn(subversion)服务端添加工程及配置权限 转载请注明源地址:http://www.cnblogs.com/funnyzpc/p/9010507.html 此篇我只是将所做过的 ...

  3. 如何在linux下开启FTP服务

    如何在linux下开启FTP服务 1. 首先服务器要安装ftp软件,查看是否已经安装ftp软件下:   #which vsftpd   如果看到有vsftpd的目录说明服务器已经安装了ftp软件 2. ...

  4. Linux下启动Oracle服务和监听程序步骤

    Linux下启动Oracle服务和监听程序启动和关闭步骤整理如下: 1.安装oracle: 2.创建oracle系统用户: 3./home/oracle下面的.bash_profile添加几个环境变量 ...

  5. Linux下将MySQL服务添加到服务器的系统服务中

    Linux下将MySQL服务添加到服务器的系统服务中 Linux环境下将MySQL服务添加到服务器的系统服务中 1.了解MySQL程序路径 MySQL数据目录: /home/mysql/dataMyS ...

  6. 如何在linux下搭建svn服务

    • 安装svn 使用命令 yum install subversion 如果提示上述错误,请以管理员身份运行 使用命令su root 再执行 yum install subversion 2,查看sv ...

  7. linux下启动oracle服务命令

    以redflag(redhat /centos)linux下的 oracle 10g 为例: 如果oracle安装和配置都没有问题的话: 依次执行以下代码即可启动oracle服务. #su - ora ...

  8. Linux下开启nfs服务

    1.什么是NFS(Network FileSystem) NFS 就是 Network FileSystem 的缩写,最早之前是由 Sun 所发展出来的.他最大的功能就是可以透过网络,让不同的机器.不 ...

  9. Linux下不停止服务,清空nohup.out文件

    转载:http://www.sucheasy.com/OracleFusionMiddleware/640.html 1.nohup.out的由来及作用 用途:LINUX命令用法,不挂断地运行命令. ...

随机推荐

  1. java 递归获取一个目录下的所有文件路径

    还是日志的问题,log4j生成的日志文件,自动保存到月份所在的文件夹中,需要获取到所有的日志文件,包括文件夹 private List<String> ergodic(File file, ...

  2. asp.net mvc ClaimsIdentity 授权研究 (还是测试版 有bug)

      安装 Microsoft.Owin.Host.SystemWeb Identity.Core Microsoft.Owin.Security.Cookies 在是startup.cs做如下修改 p ...

  3. 使用/调用 函数的时候, 前面加不加 对象或 this?

    这个问题, 其实没有细想: 应该是这样的: (想明白了, 就会少很多困惑, 会对语言的把握 会 更深入更透彻) 任何一门 语言, (如果你自己去设计一门语言...). 都要规定 一些 "关键 ...

  4. php去掉字符串的最后一个字符附substr()的用法

    转自:http://www.jb51.net/article/26604.htm 今天项目中用到,去掉字符串中的最后一个字符 原字符串1,2,3,4,5,6, 去掉最后一个字符"," ...

  5. jQuery源码-class操作

    写在前面 本文写作基于jQuery 1.9.1版本,源码分析系列目录:http://www.cnblogs.com/chyingp/archive/2013/06/03/jquery-souce-co ...

  6. Jquery网页加载进度条(随笔,当然要随便写,当日记动态心情写咯)

    首先先是吐槽时间... 告诉大家一个好消息,就是有个妹子非常仰慕我的前端技术说要包养我 然后有好多羡慕嫉妒恨的童鞋一定要说,少年你太天真了,那一定是HR 然后我表示她不是HR,本宅的春天貌似要到来了. ...

  7. 【AngularJS】—— 13 服务Service

    在AngularJS中有很多的服务,常用的比如$http,$location等等. 本篇文章会介绍一下的内容: 1 $http这种Angular提供的服务的使用 2 如何自定义服务,并总结服务需要注意 ...

  8. 将本地的新建的web Form页面放到服务器提示错误;

    <%@ Page Language="C#" AutoEventWireup="true" CodeBehind="test.aspx.cs&q ...

  9. 调用shell脚本,IP处理

    //调用shell脚本,IP处理 package com.letv.sdns.web.utils; import org.slf4j.Logger; import org.slf4j.LoggerFa ...

  10. 【C语言入门教程】2.6 运算符

    运算符是程序中用于数值运算的操作符,C 语言的运算符可分为 算术运算符.关系与逻辑运算符 和 位操作运算符 这 3 类. 2.6.1 算术运算符 算术运算符用来完成基本的数值运算,如 加.减.乘.除, ...