centos安装审计日志
centos安装audit审计日志
安装:
直接使用yum进行安装auditd系列程序:
yum -y install audit auditd-libs
相关命令:
1、auditctl : 即时控制审计守护进程的行为的工具,比如如添加规则等等。
auditctl -l #查看规则
auditctl -D #清空规则
2、aureport : 查看和生成审计报告的工具。
aureport -l #生成登录审计报告
3、ausearch : 查找审计事件的工具
ausearch -i -p 4096
4、autrace : 一个用于跟踪进程的命令。
autrace -r /usr/sbin/anacron
相关文件:
/etc/audit/audit.rules : 记录审计规则的文件。
/etc/audit/rules.d/ : 规则子目录,可以直接在这里面添加.rules文件生效配置
/etc/audit/auditd.conf : auditd工具的配置文件。
/var/log/audit/audit.log : 默认日志路径
配置文件介绍
1.vi /etc/audit/auditd.conf
local_events = yes # 是否记录本地事件,如果设为no,只记录来自网络的事件
log_file = /var/log/audit/audit.log # 日志文件
flush = INCREMENTAL_ASYNC # 日志文件刷新方式,可选的选项有:
# NONE:不做特别处理
# INCREMENTAL:用freq选项的值确定多长时间发生一次向磁盘的刷新
# DATA:审计数据和日志文件是同步的
# SYNC:写日志文件时,数据和元数据是同步的
max_log_file = 8 # 日志文件最大8MB
num_logs = 5 # 日志文件数量
priority_boost = 4 # 进程优先级(-4),ps axl | grep auditd 可查
max_log_file_action = ROTATE # 当log文件达到max_log_file设定大小后的动作。可选的动作有:
# IGNORE:忽略max_log_file设置的限制,继续写log文件
# SYSLOG:向syslog中写入一条warning
# SUSPEND:auditd不再写log文件,但是auditd继续运行
# ROTATE:分多个log文件,一个log文件达到上限后在创建一个新的不同名字的log文件
space_left = 75 # log_file文件所在的分区空闲空间少于这个设定的值时,触发相应的动作,单位是MB
space_left_action = SYSLOG # space_left设定被触发时的动作。可选动作有:
# IGNORE, SYSLOG, SUSPEND:与前面max_log_file_action相似
# SINGLE:audit进程会将系统模式变为单用户模式
# HALT:audit进程将会触发系统关机
disk_full_action = SUSPEND # 磁盘满后触发的动作
disk_error_action = SUSPEND # 磁盘错误触发的动作
配置审计规则
1.介绍:uditctl命令可以控制审计系统的基本功能、设定规则等,但为了定义重启后一直有效的审计规则,需要把规则定义到/etc/audit/rules.d/目录下,重启auditd时,/etc/audit/rules.d/目录下所有文件的规则会合并到/etc/audit/audit.rules。
2.在/usr/share/doc/audit-{version}/rules/目录下
cp /usr/share/doc/audit-2.8.4/rules/10-base-config.rules /usr/share/doc/audit-2.8.4/rules/30-nispom.rules /usr/share/doc/audit-2.8.4/rules/99-finalize.rules /etc/audit/rules.d/
3.重启auditd
service auditd restart
测试
1.搜索登录失败的日志信息: ausearch --message USER_LOGIN --success no --interpret
2.生成登录的审计报告: aureport -l
