實現監管企業員工的操作行爲就需要開啓審計功能,也就是audit,通過日誌查看用戶的操作行爲
1、安裝和開啓auditd服務:
安裝:yum install audit 安裝後默認啓動
查看運行狀態: service auditd status
2、查看auditd的服務狀態的另一種方式: auditctl -s
enabled爲1表示開啓,0表示關閉
3、服務開啓後,所有的審計日誌會記錄在/var/log/audit/audit.log文件中
該文件記錄格式是每行以type開頭,其中紅框處是事件發生的時間(代表從1970年1月1日到現在過了多久,可以用date命令轉換格式),冒號後面的數字是事件ID,同一個事件ID是一樣的
4、audit可以自定義對指定的文件或命令進行審計(如監視rm命令被執行、/etc/passwd文件內容被改變),只要配置好對應規則即可,配置規則可以通過命令行(臨時生效)或者編輯配置文件(永久生效)兩種方式來實現
命令行語法(臨時生效):
auditctl -w /bin/rm -p x -k removefile
-w 指定所要監控的文件或命令
-p 指定監控屬性,如x 執行、w修改
-k 設置一個關鍵詞用於查詢
編輯配置文件(永久生效):
配置文件是/etc/audit目錄下的auditd.conf和audit.rules
auditd.conf 主要是定義了auditd服務日誌和性能等相關配置
audit.rules纔是定義規則的文件:其實就是把auditctl的命令直接拿過來即可,auditctl裏支持的選項都可以在這個文件裏指定
修改完後重啓服務:service auditd restart
5、事件查看工具------ausearch :
-a number 只顯示事件ID爲指定數字的日誌信息,如只顯示926事件:ausearch -a 926
-c commond 只顯示和指定命令有關的事件,如只顯示rm命令產生的事件:auserach -c rm
-i 顯示出的信息更清晰,如事件時間、相關用戶名都會直接顯示出來,而不再是數字形式
-k 顯示出和之前auditctl -k所定義的關鍵詞相匹配的事件信息
如: ausearch -k editfile -i
6、使用auditctl可以查看和清空規則:
auditctl -l 查看定義的規則
auditctl -D 清空定義的規則