Linux auditctl命令

摘自:https://deepinout.com/linux-cmd/linux-audit-system-related-cmd/linux-cmd-auditctl.html

Linux auditctl命令:控制内核的审计系统。

Linux auditctl命令 功能描述

使用auditctl命令可以对内核中的审计系统进行控制,可以用来获取audit状态和添加/删除audit规则。

Linux auditctl命令 语法

auditctl [选项]

命令中各选项的含义如表所示。

 

在使用-a选项时可以使用的列表名称如表所示。

在使用-a选项时可以使用的动作如表所示。

 在使用-F选项时可以使用的有效的字段名如表所示。

 

Linux auditctl命令 示例

查看audit运行状态

[root@rhel ]# auditctl -s
AUDIT_STATUS: enabled=1 flag=0 pid=2695 rate_limit=0 backlog_limit=320 lost=0 backlog=0
//auditd进程的运行状态是正常的
查看现有的audit规则
[root@rhel ]# auditctl -l
No rules
添加一条audit规则,记录用户zhangsan(UID为500)的所有open系统调用
[root@rhel ]# auditctl -a entry, always -S open -F uid=500
Warning - entry rules deprecated, changing to exit rule]
WARNING -32/64 bit syscall mismatch, you should specify an arch
[root@rhel ]# auditctl -l
LIST_RULES: exit, always uid=500 (0x1f4) syscall=open
删除audit规则
 
[root@rhel ]# auditctl -d entry, always -S open -F uid=500
Warning - entry rules deprecated, changing to exit rule
添加一条规则,不记录用户登录类型的消息
[root@rhel ]# auditctl -a exclude, always -F msgtype=USER_LOGIN
添加一条audit规则,监视/etc/passwd文件被读、写、执行、修改文件属性的操作记录, mykey_name是可选参数,产生一个易标识的日志入口关键字
[root@rhel ]# auditctl -w /etc/passwd -p rwax -k mykey_name
添加一条audit规则,记录指定用户打开的文件
[root@rhel ]# auditctl -a exit, always -S open -F auid=510
添加一条audit规则,记录不成功的open系统调用
[root@rhel ]# auditctl -a exit, always -S open -F success! =0
添加一条audit规则,记录进程PID为1005程序所做的所有系统调用
[root@rhel ]# auditctl -a exit, always -S all -F pid=1005
 

删除所有的audit规则

 
[root@rhel ]# auditctl -D
posted @ 2023-11-29 15:12  LiuYanYGZ  阅读(600)  评论(0编辑  收藏  举报