应用安全-安全审计日志目录 /var/log/audit/audit.log
[root@localhost audit]# cd /etc/audit/
[root@localhost audit]# ls
auditd.conf audit.rules rules.d
添加审计规则
auditctl -w /etc/passwd -p wa
监视/etc/passwd文件被写、修改文件属性的操作,并记录
auditctl -w /etc/sudoers -p wa
监视/etc/sudoers文件被写、修改文件属性的操作,并记录
auditctl -w /var/lib/mysql -p wa
监视/var/lib/mysql 文件被写、修改文件属性的操作,并记录
auditctl -w /var/log/secure -p wa
监视/var/log/secur 文件被写、修改文件属性的操作,并记录
-w 监控文件路径
-p 监控文件筛选 r(读) w(写) x(执行) a(属性改变)
审计audit总结
#查看审计规则
#auditctl -l
#添加审计规则
#-w path : 指定要监控的路径,上面的命令指定了监控的文件路径 /etc/passwd
#-p : 指定触发审计的文件/目录的访问权限
#-k 给当前这条监控规则起个名字,方便搜索过滤
#rwxa : 指定的触发条件,r 读取权限,w 写入权限,x 执行权限,a 属性(attr)
#auditctl -w /etc/passwd -p rwxa
#查看审计日志
#ausearch -f /etc/passwd
#生成简要报告
#aureport
注意:用
auditd 添加审计规则是临时的,立即生效,但是系统重启失效。重启仍然有效,需要在 /etc/audit/audit.rules 文件中添加规则,然后重启服务:
service auditd restart 或者 service auditd
reload