简而言之,audit是Linux系统上的一款审计工具,它的主要功能在于记录和监控文件、目录、系统资源的变动情况。尽管audit不能直接增强系统的安全性能,但它对于发现违反系统安全策略的行为却具有显著的作用。
要查看auditd服务的当前状态,您可以使用以下命令:systemctl status auditd.service
若您希望启动auditd服务,请输入:service auditd start
若需重启服务,您可以选择以一命令:service auditd restart或service auditd reload
使用auditctl -w /var/crash/coredump命令可以指定监控的路径。在这里,路径被设定为监控对象的var/crash/coredump。
-w path:此选项用于指定要监控的路径。
-p:此选项用于指定触发审计的文件或目录的访问权限。
rwxa:这是触发条件,其中r代表读取权限,w代表写入权限,x代表执行权限,a代表属性(attr)权限。
如果在审计过程中发现异常情况,通常需要在audit规则中配置相应的监控项。
若需查看audit规则,可使用命令auditctl –l(如果无法查询到,可能需要重启系统)。
要查看审计日志,您可以前往/var/log/audit目录,并执行类似这样的命令行:grep -rn 搜索的字符串。
/var/crash/coredump目录下曾有名为“test”的文件,其创建时间为:2021年1月16日 17:10:44。此目录下也有记录显示该文件已被删除的时间:2021年1月16日 17:12:23。
audit还提供了一个高效的日志查看工具——ausearch。使用此工具时,可以通过ausearch -h查看该命令的用法。
若您需要进一步了解日志参数的具体内容,可参考以下链接:blog./qwertyupoiuytr/article/details/58278349
查看auditctl命令的使用规则:输入auditctl –h
查看已定义的规则:执行auditctl –l
清空已定义的规则:运行auditctl -D
若您需要转换时间戳,可访问以下工具页面:tool./Tools/unixtime.aspx