linux 审计日志 查看规则

Linux 审计日志查看规则

Linux 系统的审计功能可以帮助管理员检查系统中发生的安全事件和追踪系统活动。通过审计功能，管理员可以查看记录的安全事件并采取相应的措施来保护系统的安全。在本文中，我们将探讨如何使用 Linux 的审计日志查看规则来查看审计日志。

首先，我们需要了解 Linux 系统审计日志的存储位置。一般来说，审计日志存储在 /var/log/audit/ 目录下。在这个目录中，我们可以找到一些以 audit.log 开头的文件，这些文件包含了系统的审计日志记录。

要查看审计日志，我们可以使用命令行工具 ausearch。下面是一些常用的 ausearch 命令：

1. 查看所有的审计日志记录： ``` ausearch -a ```

这会列出系统中所有的审计日志记录，并显示相关的信息，如时间戳、事件类型、主体和客体等。

2. 查看特定类型的审计事件： ```

ausearch -m <事件类型> ```

例如，要查看所有的文件变更事件，可以使用命令： ```

ausearch -m write ```

3. 根据时间范围查看审计事件： ```

ausearch --start <开始时间> --end <结束时间> ```

这个命令将显示在指定时间范围内的审计事件。时间格式为 YYYY-MM-DD HH:MM:SS。

4. 查看具有特定 UID 的审计事件： ```

ausearch -ui ```

此命令将显示具有指定 UID 的审计事件。

除了 ausearch 命令，我们还可以使用 aureport 命令来生成审计日志的摘要报告。下面是一些常用的 aureport 命令：

1. 查看给定时间段内已登录的用户： ```

aureport --login ```

2. 查看文件创建和删除事件： ```

aureport --file ```

3. 查看系统调用事件： ```

aureport --syscall ```

4. 查看特定用户的所有审计事件： ```

aureport -u <用户名> ```

此外，我们还可以在审计规则中定义自定义规则以过滤和筛选所需的审计事件。审计规则位于 /etc/audit/audit.rules 文件中。以下是一些常见的审计规则：

1. 监控文件变更事件： ```

-w /path/to/file -p wa -k file-change ```

该规则将监视指定路径下的文件变更事件，并将其与关键字 file-change 关联起来。

2. 监控登录事件：

```

-w /var/log/wtmp -p wa -k logins -w /var/log/btmp -p wa -k logins -w /var/log/lastlog -p wa -k logins ```

这些规则将监视登录日志文件并将其与关键字 logins 关联起来。 3. 监控用户和组管理事件： ```

-w /etc/passwd -p wa -k user-group -w /etc/group -p wa -k user-group -w /etc/shadow -p wa -k user-group ```

这些规则将监视用户和组相关的文件，并将其与关键字 user-group 关联起来。 要应用新的审计规则，我们可以使用命令： ```

sudo systemctl restart auditd ```

这将使新规则生效。

总结来说，对于 Linux 系统的审计日志查看，我们可以通过 ausearch 和 aureport 命令来检查系统中发生的事件，并使用审计规则来定义自定义规则以过滤

所需的事件。这些工具可以帮助管理员监测系统的安全性，并采取必要的措施来保护系统的安全。