linux系统使用审计audit查看系统安全情况。

Posted on 2022-07-08 09:54  风行天下-2080  阅读(323)  评论(0)    收藏  举报

https://blog.csdn.net/weixin_42680139/article/details/116578775?spm=1001.2101.3001.6661.1&utm_medium=distribute.pc_relevant_t0.none-task-blog-2%7Edefault%7ECTRLIST%7Edefault-1-116578775-blog-113629205.pc_relevant_multi_platform_whitelistv2&depth_1-utm_source=distribute.pc_relevant_t0.none-task-blog-2%7Edefault%7ECTRLIST%7Edefault-1-116578775-blog-113629205.pc_relevant_multi_platform_whitelistv2&utm_relevant_index=1

https://blog.csdn.net/watermelonbig/article/details/124154640?spm=1001.2101.3001.6650.6&utm_medium=distribute.pc_relevant.none-task-blog-2%7Edefault%7EBlogCommendFromBaidu%7Edefault-6-124154640-blog-116578775.pc_relevant_default&depth_1-utm_source=distribute.pc_relevant.none-task-blog-2%7Edefault%7EBlogCommendFromBaidu%7Edefault-6-124154640-blog-116578775.pc_relevant_default&utm_relevant_index=11

https://blog.csdn.net/whuzm08/article/details/87267956?spm=1001.2101.3001.6650.4&utm_medium=distribute.pc_relevant.none-task-blog-2%7Edefault%7ECTRLIST%7Edefault-4-87267956-blog-124154640.pc_relevant_multi_platform_whitelistv1_exp2&depth_1-utm_source=distribute.pc_relevant.none-task-blog-2%7Edefault%7ECTRLIST%7Edefault-4-87267956-blog-124154640.pc_relevant_multi_platform_whitelistv1_exp2&utm_relevant_index=9

https://blog.csdn.net/qwertyupoiuytr/article/details/58278349?spm=1001.2101.3001.6650.4&utm_medium=distribute.pc_relevant.none-task-blog-2%7Edefault%7ECTRLIST%7Edefault-4-58278349-blog-87267956.pc_relevant_multi_platform_whitelistv1_exp2&depth_1-utm_source=distribute.pc_relevant.none-task-blog-2%7Edefault%7ECTRLIST%7Edefault-4-58278349-blog-87267956.pc_relevant_multi_platform_whitelistv1_exp2&utm_relevant_index=9

https://blog.csdn.net/weixin_34511324/article/details/116838160

查看审计报告

一旦定义审计规则后,它会自动运行。过一段时间后,我们可以看看auditd是如何帮我们跟踪审计的。

Auditd提供了另一个工具叫 aureport 。从名字上可以猜到, aureport 是使用系统审计日志生成简要报告的工具。

我们已经配置auditd去跟踪/etc/passwd文件。auditd参数设置后一段时间后,audit.log 文件就创建出来了。

生成审计报告,我们可以使用aureport工具。不带参数运行的话,可以生成审计活动的概述。

$ sudo aureport

6df9593b70c9da08b724105ae3fc792c.png

如上,报告包含了大多数重要区域的信息。

上图可以看出有 3 次授权失败。 使用aureport,我们可以深入查看这些信息。

1、

看所有账户修改相关的事件,可以使用-m参数。

$ sudo aureport -m

47d58cfa563121a23e8f1d31d13a9688.png

2、

使用以下命令查看授权失败的详细信息:

$ sudo aureport -au

059c807c45d3a181d0563521a6a556d7.png

从上图可以看出,由两个用户在特定的时间授权失败。

博客园  ©  2004-2025
浙公网安备 33010602011771号 浙ICP备2021040463号-3