linux日誌審計

Ⅰ linux審計日誌可以存多久

Linux的日誌文件根據需要，你可以一直保存都可以。
這取決於你的硬碟大小和是否設置定期清除一定日期之前的日誌文件。

Ⅱ linux操作系統怎麼開啟日誌審計功能

對於Linux操作審計，當前主要有兩種形式。
一種是，通過收取linux操作系統上的日誌，來進行審計。優點是全面，內容是零散，缺乏直觀性，一般需要專業的軟體來收集和呈現，同時由於容易被刪除，可能導致關鍵審計信息缺失問題，以及由於共享賬號問題，導致無法定位到人。
另一種是，通過碉堡堡壘機軟體來實現審計。優點是全面直觀，可以關聯到人，確定是只能對遠程運維操作進行審計，無法對直接登錄操作進行審計。

Ⅲ Linux/Unix如何將日誌發送到日誌伺服器

這篇演示如何通過syslog將Linux和Unix的日誌發送到指定的日誌審計伺服器中。

假設日誌伺服器IP為：192.168.100.100，需要發送入職的伺服器與這台日誌伺服器之間，路由可達，並有訪問許可權，請看下面的實例：

服務重啟後，就能夠在日誌伺服器上查看到對應的日誌輸出了，不需要其他多餘的配置。

假設日誌伺服器IP為：192.168.100.100，需要發送入職的伺服器與這台日誌伺服器之間，路由可達，並有訪問許可權，請看下面的實例：

Ⅳ 怎樣可以直觀有效的實現，linux和windows操作系統的運維審計

通過堡壘機可以直觀有效的實現，linux和windows操作系統的運維審計。 對於Linux操作審計，當前主要有兩種形式。一種是，通過收取linux操作系統上的日誌，來進行審計。優點是全面，內容是零散，缺乏直觀性，一般需要專業的軟體來收集和呈現，同時由於容易被刪除，可能導致關鍵審計信息缺失問題，以及由於共享賬號問題，導致無法定位到人。另一種是，通過碉堡堡壘機軟體來實現審計。優點是全面直觀，可以關聯到人，確定是只能對遠程運維操作進行審計，無法對直接登錄操作進行審計。 Windows操作審計，當前更多使用的是讀取操作系統日誌方式進行審計，但是確認直觀性，同時由於共享賬號問題，無法審計到人。為了解決基於日誌審計的弊端，可以使用碉堡堡壘機軟體，先對運維人員進行身份認證，事後審計就可以將運維操作畫面直觀回放，同時關聯到人，但是弊端是無法對直接登錄windows系統的操作進行審計，只能對RDP遠程操作有效。

Ⅳ linux日誌 audit

我們知道在Linux系統中有大量的日誌文件可以用於查看應用程序的各種信息，但是對於用戶的操作行為（如某用戶修改刪除了某文件）卻無法通過這些日誌文件來查看，如果我們想實現監管企業員工的操作行為就需要開啟審計功能，也就是audit。

1、首先執行以下命令開啟auditd服務

| 1 | service auditd start |

2、接著查看看auditd的服務狀態，有兩種方法可以實現，使用auditctl命令時主要看enabled是否為1，1為開啟，0為關閉

[root@ns-master-c01 ~]``# service auditd status` |

`auditd (pid 20594) is running...
[root@ns-master-c01 ~]``# auditctl -s

| 5 | AUDIT_STATUS: enabled=1 flag=1 pid=20594 rate_limit=0 backlog_limit=320 lost=0 backlog=0 |

3、開啟了autid服務後，所有的審計日誌會記錄在/var/log/audit/audit.log文件中，該文件記錄格式是每行以type開頭，其中紅框處是事件發生的時間（代表從1970年1月1日到現在過了多久，可以用date命令轉換格式），冒號後面的數字是事件ID，同一個事件ID是一樣的。

4、audit可以自定義對指定的文件或命令進行審計（如監視rm命令被執行、/etc/passwd文件內容被改變），只要配置好對應規則即可，配置規則可以通過命令行（臨時生效）或者編輯配置文件（永久生效）兩種方式來實現。

命令行語法（臨時生效****）****：

| 1 | auditctl -w /bin/``rm -p x -k removefile ``#-w指定所要監控的文件或命令 |

| 2 | #-p指定監控屬性，如x執行、w修改 |

| 3 | #-k是設置一個關鍵詞用於查詢 |

編輯配置文件（****永久生效）****：

auditd的配置文件為/etc/audit/audit下的auditd.conf 和audit.rules，auditd.conf 主要是定義了auditd服務日誌和性能等相關配置，audit.rules才是定義規則的文件，下面是一個例子，其實就是把auditctl的命令直接拿過來即可，auditctl里支持的選項都可以在這個文件里指定

修改完後重啟服務

| 1 | service auditd restart |

5、如果直接使用tailf等查看工具進行日誌分析會比較麻煩，好在audit已經提供了一個更好的事件查看工具—— ausea****rch， 使用auserach -h查看下該命令的用法：

這里列出幾個常用的選項：

-a number #只顯示事件ID為指定數字的日誌信息，如只顯示926事件：ausearch -a 926

-c commond #只顯示和指定命令有關的事件，如只顯示rm命令產生的事件：auserach -c rm

-i #顯示出的信息更清晰，如事件時間、相關用戶名都會直接顯示出來，而不再是數字形式

-k #顯示出和之前auditctl -k所定義的關鍵詞相匹配的事件信息

通過下圖可以看到每個事件被虛線分開，用戶名和執行的操作也都能清晰的看到了：

6、使用auditctl還可以查看和清空規則

查看源碼

<embed width="16" height="16" id="highlighter_638828_clipboard" type="application/x-shockwave-flash" title="復制到剪貼板" allowscriptaccess="always" wmode="transparent" flashvars="highlighterId=highlighter_638828" menu="false" src="http://www.linuxe.cn/content/plugins/et_highlighter51/scripts/clipboard.swf" style="margin: 0px; padding: 0px; outline: 0px; zoom: 1; max-width: 96%;">

摘自 http://www.linuxe.cn/post-255.html

| 1 | auditctl -l 查看定義的規則 |

| 2 | auditctl -D 清空定義的規則 |

Ⅵ Linux的audit.log日誌審計怎麼斷定被黑客入侵了

這里首先介紹auditctl的應用，具體使用指南查看man auditctl。auditctl的man 描述說明這個工具主要是用來控制audit系統行為，獲取audit系統狀態，添加或者刪除audit系統的規則。控制audit系統行為和獲取audit系統狀態參數：
-s 或者auditd 狀態 auditctl -s 顯示：AUDIT_STATUS: enabled=1 flag=1 pid=2792 rate_limit=0 backlog_limit=320 lost=0 backlog=0

Ⅶ Linux 主機審計

Linux 主機審計

Linux操作系統可以通過設置日誌文件可以對每個用戶的每一條命令進行紀錄，不過這一功能默認是沒有打開的。

開啟這個功能的過程：

# touch /var/log/pacct
# action /var/log/pact

也可以用自已的文件來代替/var/log/pacct這個文件。但必須路徑和文件名的正確。

sa命令與 ac 命令一樣，sa 是一個統計命令。該命令可以獲得每個用戶或每個命令的進程使用的大致情況，並且提供了系統資源的消費信息。在很大程度上，sa 又是一個記帳命令，對於識別特殊用戶，特別是已知特殊用戶使用的可疑命令十分有用。另外，由於信息量很大,需要處理腳本或程序篩選這些信息。

lastcomm命令, 與 sa 命令不同，lastcomm 命令提供每一個命令的輸出結果，同時列印出與執行每個命令有關的時間印戳。就這一點而說，lastcomm 比 sa 更有安全性。如果系統被入侵，請不要相信在 lastlog、utmp、wtm中記錄的信息，但也不要忽略，因為這些信息可能被修改過了。另外有可能有人替換了who程序來掩人耳目。通常，在已經識別某些可疑活動後，進程記帳可以有效的發揮作用。使用 lastcomm 可以隔絕用戶活動或在特定時間執行命令。

3、使用logrorate對審計文件管理

/var/log/utmp，/var/log/wtmp和/var/log/pacct文件都是動態的數據文件。wtmp和pacct文件是在文件尾部不斷地增加記錄。在繁忙的網路上，這些文件會變得很大。Linux提供了一個叫logrotate的程序，它允許管理員對這些文件進行管理。

Logrotate讀取/etc/logrotate.d目錄下的文件。管理員通過該目錄下的腳本文件，控制logrotate程序的運作。一個典型的腳本文件如下：

{

rotate 5

weekly

errors root@serve1r

mail root@server1

truncate

compress

size 100k

}

腳本文件的含義如下：

● rotate 5——保留該文件一份當前的備份和5份舊的備份。
● weekly——每周處理文件一次，通常是一周的第一天。
● errors——向郵件地址發送錯誤報告。
● mail——向郵件地址發送相關的信息。
● truncate——允許進程持續地記錄，備份文件創建後，把活動的日誌文件清空。
● compress——使用gzip工具對舊的日誌文件進行壓縮。
● size 100k——當文件超過100k 時自動處理。

Ⅷ Linux系統上記錄MYSQL操作的審計日誌

    根據筆者上一篇文章—Linux系統上記錄用戶操作的審計日誌 。本文來利用相同的方法記錄MYSQL操作的審計日誌。

    使用用mysql工具連接MySQL server的所有操作會默認記錄到~/.mysql_history文件中，這個文件會把所有操作記錄下來，包括創建用戶和修改用戶的明文密碼，這在生產系統上是不安全的。如果不想保存，僅僅刪除是不行的（文件不存在會再建立），要直接將其軟連接到垃圾箱。

     ln  -s  /dev/null  ~/.mysql_history

    利用上一篇文章相同的方法記錄MYSQL操作的審計日誌，是因為mysql工具本身就是有一個shell, 每次mysql連接退出後，都會把此次操作的信息記錄到~/.mysql_history文件中。那麼可以重新定義MYSQL_HISTFILE環境變數來保存mysql日誌。

    先看置於/etc/profile.d目錄下的環境變數的腳本mysql_history.sh，和loginlog類似。

      在測試時，發現平時使用的普通用戶在操作mysql後無法記錄，而root用戶（平時沒有操作過mysql）可以記錄成功。後來在在~/.mysql_history文件找到了操作記錄，估計是這個文件還存在的原因，刪除後才記錄到新的MYSQL_HISTFILE定義的路徑。

      和loginlog一樣，需要定期刪除過期日誌，以下腳本置於/etc/cron.weekly 目錄下。

        delete_time=15

        find /opt/mysqllog/  -mtime +$delete_time -name '*.log' -exec rm -r {} \;

      但是相比於loginlog，mysqllog有兩點暫時沒有解決。

    1、定義最大的記錄條數history.maxSize不知在哪定義，my.cnf?

    2、每一條命令的時間記錄添加。

Ⅸ linux伺服器安全審計怎麼弄

材料：

Linux審計系統auditd 套件

步驟：

1. 安裝 auditd

   REL/centos默認已經安裝了此套件，如果你使用ubuntu server，則要手工安裝它：

   sudo apt-get install auditd

   它包括以下內容：

   auditctl :即時控制審計守護進程的行為的工具，比如如添加規則等等。

   /etc/audit/audit.rules :記錄審計規則的文件。

   aureport :查看和生成審計報告的工具。

   ausearch :查找審計事件的工具

   auditspd :轉發事件通知給其他應用程序，而不是寫入到審計日誌文件中。

   autrace :一個用於跟蹤進程的命令。

   /etc/audit/auditd.conf :auditd工具的配置文件。

2. Audit 文件和目錄訪問審計

   首次安裝auditd後, 審計規則是空的。可以用sudo auditctl -l 查看規則。文件審計用於保護敏感的文件，如保存系統用戶名密碼的passwd文件，文件訪問審計方法：

   sudo auditctl -w /etc/passwd -p rwxa

-w path :指定要監控的路徑，上面的命令指定了監控的文件路徑 /etc/passwd

-p :指定觸發審計的文件/目錄的訪問許可權

rwxa ：指定的觸發條件，r 讀取許可權，w 寫入許可權，x 執行許可權，a 屬性（attr）

目錄進行審計和文件審計相似，方法如下：

$ sudo auditctl -w /proction/

以上命令對/proction目錄進行保護。

3.查看審計日誌

添加規則後，我們可以查看 auditd 的日誌。使用ausearch工具可以查看auditd日誌。

sudo ausearch -f /etc/passwd

-f設定ausearch 調出 /etc/passwd文件的審計內容

4. 查看審計報告

以上命令返回log如下：

time->Mon Dec 22 09:39:16 2016

type=PATH msg=audit(1419215956.471:194): item=0name="/etc/passwd"

inode=142512 dev=08:01 mode=0100644 ouid=0 ogid=0 rdev=00:00 nametype=NORMAL

type=CWD msg=audit(1419215956.471:194):cwd="/home/somebody"

type=SYSCALL msg=audit(1419215956.471:194): arch=40000003syscall=5

success=yes exit=3 a0=b779694b a1=80000 a2=1b6 a3=b8776aa8 items=1 ppid=2090 pid=2231auid=4294967295 uid=1000 gid=1000euid=0 suid=0 fsuid=0 egid=1000 sgid=1000 fsgid=1000 tty=pts0 ses=4294967295

comm="sudo" exe="/usr/bin/sudo"key=(null)

• time :審計時間。

• name :審計對象

• cwd :當前路徑

• syscall :相關的系統調用

• auid :審計用戶ID

• uid 和 gid :訪問文件的用戶ID和用戶組ID

• comm :用戶訪問文件的命令

• exe :上面命令的可執行文件路徑

以上審計日誌顯示文件未被改動。

Ⅹ liunx審計服務不能關閉

進程異常了，一般得重新啟動系統。
所有的安全保密服務功能、網路中的所有層次都與審計跟蹤系統有關。審計機制在Linux系統開機後會自動開啟，處於審計狀態，記錄應該記錄的內容。
Linux審計系統提供了一種跟蹤系統上與安全相關的信息的方法，根據預先配置的規則，Audit會生成日誌條目，以盡可能多地記錄有關系統上發生的事件的信息。