使用audit工具常规命令监控系统访问文件

audit工具的作用

audit工具可以对文件使用进行监控,可以监控是哪个进程对文件进行读写执行和atrribute属性修改。在常规运维中有很多作用。

audit工具的安装和启动

Ubuntu使用apt-get audit。centos使用yum install audit
下面命令enable和启动、停止auditd

systemctl enable auditd 
Systemctl start auditd
Service auditd restart //在centos7.x上当auditd启动以后,
//auditd配置拒绝使用systemctl stop、restart 。只能使用service命令
Service auditd stop

audit工具的使用

audit关键组件

  • auditctl audit配置工具
  • ausearch audit结果查找工具
  • aureport report工具
  • autrace 跟踪工具,对一个进程进行跟踪类似于strace
  • auditd进程
  • /etc/audit/rules.d/audit.rules auditd进程启动后会从此处读去配置
  • /var/log/audit/audit.log audit详细日志都记录在此处

audit 常规使用方法

使用audit监控文件的读写访问

  • auditctl工具添加规则
    auditctl添加的规则每次audit服务重启后就消失了。
auditctl -l //查看当前生效的audit规则
Auditctl -w /home/zxy -p wxra // 参数-w对某个文件、目录进行监控,-p后面跟着是规则 w 写入 r 读 x 执行 a修改属性
auditctl -W /home/zxy //参数-W对某个文件、目录取消监控

auditctl 添加的规则也可以写入到/etc/audit/rules.d/audit.rules 文件最尾巴上,它可以保证每次audit服务重启后,规则还有效。

  • ausearch 查找规则监控的结果
    正常情况下audit启动后会出现大量的监控日志,可以使用ausearch 对日志进行过滤只显示感兴趣的项目
Ausearch -f zxy.txt //在日志中过滤出所有和zxy.txt相关的项目

系统调用号可以在/usr/include/asm/unistd_64.h里查看

  • audit输出项说明
字段 用途 其他
Time 审计时间 na
name 审计对象 na
cwd 访问发起的当前路径 na
syscall 发起访问的系统调用号 在linux系统的unistd.h中有记录系统调用号
ppid 父进程id na
pid 进程id na
uid 访问文件的用户id 0号表示root用户
gid 访问文件的用户组id 0号表示root用户组
com 访问的用户命令 na
exe 访问的用户命令的全路径 na
最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 214,922评论 6 497
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 91,591评论 3 389
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 160,546评论 0 350
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 57,467评论 1 288
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 66,553评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,580评论 1 293
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,588评论 3 414
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 38,334评论 0 270
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,780评论 1 307
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 37,092评论 2 330
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 39,270评论 1 344
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,925评论 5 338
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,573评论 3 322
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 31,194评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,437评论 1 268
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 47,154评论 2 366
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 44,127评论 2 352

推荐阅读更多精彩内容

  • 一、介绍MySQL AUDIT MySQL AUDIT Plugin是一个MySQL安全审计插件,由McAfee提...
    张伟科阅读 6,850评论 1 2
  • 简介 数据库审计(简称DBAudit)能够实时记录网络上的数据库活动,对数据库操作进行细粒度审计的合规性管理,对数...
    mysia阅读 2,562评论 1 0
  • 企业级node安全保障 第三方依赖的安全隐患 安全现状 去年11月, snyk公司发布《2017开源软件安全报告》...
    林晨chris阅读 1,649评论 0 1
  • 第一天 7月13日OCP笔记: Oracle Ocp11g准备资料: OracleFundmentals 书 管理...
    fjxCode阅读 2,813评论 0 4
  • 一、用户帐号和环境……………………………………………………………. 2 二、系统访问认证和授权…………………………...
    大福技术阅读 5,955评论 0 5