linux audit审计(8)--ausearch搜索audit日志文件】的更多相关文章

linux audit审计(8)--ausearch搜索audit日志文件

ausearch这个工具,可以针对指定的事件来搜索audit日志文件.默认情况下,ausearch搜索/var/log/audit/audit.log这个文件. The ausearch utility allows you to search Audit log files for specific events. By default, ausearch searches the /var/log/audit/audit.log file. You can specify a differe…

linux audit审计(4)--audit的日志切分,以及与rsyslog的切分协同使用

audit的规则配置稍微不当,就会短时间内产生大量日志,所以这个规则配置一定要当心.当audit日志写满后,可以看到如下场景: -r-------- 1 root root 8388609 Mar 31 11:47 audit.log.997 -r-------- 1 root root 8388780 Mar 31 11:47 audit.log.998 -r-------- 1 root root 8388621 Mar 31 11:47 audit.log.999 然后在messages日…

linux audit审计(3)--audit服务配置

audit守护进程可以通过/etc/audit/auditd.conf文件进行配置,默认的auditd配置文件可以满足大多数环境的要求. local_events = yes write_logs = yes log_file = /var/log/audit/audit.log log_group = root log_format = RAW flush = INCREMENTAL_ASYNC freq = max_log_file = num_logs = priority_boost =…

linux audit审计(2)--audit启动

参考:https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/security_guide/sec-defining_audit_rules_and_controls 1.启动audit内核模块     有些系统audit的内核模块时默认关闭的.可以查看/proc/cmdline,看audit=0,如果为0,则默认不启动audit.通过设置/boot/grub2/grub.cfg文件,使audit…

linux audit审计(6)--audit永久生效的规则配置

定义reboot系统后,仍然生效的审计规则,有两种办法: 1.直接写入/etc/audit/audit.rules文件中,在service文件中需要加入ExecStartPost=-/sbin/auditctl -R /etc/audit/audit.rules 2.将规则文件放入到/etc/audit/rules.d/目录下,在service文件中加入ExecStartPost=-/sbin/augenrules --load 以上两种方法都有对应的命令: 1.auditctl -R path…

linux自动删除30天前的日志文件

linux应用总结: 自动删除n天前的日志文件: . 使用的命令格式如下: find 对应目录 -mtime +天数 -name "文件名" -exec -rm -rf -name "*.log" -exec rm -rf {} \; 语句语法说明: find: linux下的查找命令,用于查找linux下指定的文件. /opt/backup/log/: 想要查找的文件目录. -mtime: 标准语句写法. +: 表示查找30天之前的文件,这里用数字代表天数. &q…

linux audit审计(5)--audit规则配置

audit可以配置规则,这个规则主要是给内核模块下发的,内核audit模块会按照这个规则获取审计信息,发送给auditd来记录日志. 规则类型可分为: 1.控制规则:控制audit系统的规则: 2.文件系统规则:也可以认为是文件监控,可以监控一个特定文件或者一个路径. 3.系统调用规则:可以记录特定程序的系统调用. audit规则可以通过auditctl,在命令行里输入,这些设置的规则为临时的,当系统重启后就不存在了.可以通过配置/etc/audit/audit.rules文件,当每次audit…

linux的审计功能(audit)

为了满足这样的需求:记录文件变化.记录用户对文件的读写,甚至记录系统调用,文件变化通知.什么是auditThe Linux Audit Subsystem is a system to Collect information regarding events occurring on the system(s) Kernel events (syscall events)User events (audit-enabled programs)syslog会记录系统状态(硬件警告.软件的log),…

【linux日志】【日志分析】linux系统各日志文件的含义

前段时间太忙,没有来得及管博客,最近时间充裕了,开始更新博客. 因为最近在看linux日志相关内容,把心得分享给大家 linux系统日志文件默认存放路径/var/log/ ls查看此路径下有哪些日志文件 [root@localhost log]# ls /var/loganaconda.ifcfg.log    ConsoleKit  messages           tallyloganaconda.log          cron        ntpstats           v…

基于NMAP日志文件的暴力破解工具BruteSpray

基于NMAP日志文件的暴力破解工具BruteSpray   使用NMAP的-sV选项进行扫描,可以识别目标主机的端口对应的服务.用户可以针对这些服务进行认证爆破.为了方便渗透测试人员使用,Kali Linux新增了一款基于NMAP日志文件的暴力破解工具BruteSpray.该工具可以读取NMAP生成Gnamp和XML格式的日志文件,然后借助Kali Linux的另外一款暴力破解工具Medusa进行爆破.为了加快破解速度,该工具预置了17种常见服务的默认认证信息字典,如FTP.IMAP.MSSQL…