auditd 用户审计详解

1、audit简介

syslog会记录系统状态(硬件警告、软件的log), 但syslog属于应用层, log归咎于软件, 所以并不会记录所有动作，于是才有了audit。

auditd工具可以记录文件变化、记录用户对文件的读写访问，甚至记录系统调用，文件变化通知等。同时auditd工具可以将审计记录写入日志文件，包括记录系统调用和文件访问。管理员可以检查这些日志，确定是否存在安全漏洞。

但是auditd本身不提供额外的安全性保障，它不会保护你的系统免受代码故障或者任何类型的漏洞攻击。Audit服务对跟踪这些安全问题非常有用，并且有效帮助我们采取何种针对性的安全措施。

audit功能：

1. 将用户与进程关联

Audit将进程映射到启动它们的用户标识。这使得管理员或安全人员能够精确地跟踪哪个用户拥有哪个进程并且可能在系统上进行恶意操作。

2. 审查审计线索

Linux Audit 提供了将审计报告写入磁盘并将其转​​换为可读格式的工具。

3. 审查特定的审计事件

Audit提供了一个实用程序，允许筛选特定感兴趣事件的审计报告。可以根据下面的内容过滤：

• User

• Group

• Audit ID

• Remote Host Name

• Remote Host Address

• System Call

• System Call Arguments

• File

• File Operations

• Success or Failure 

4. 应用选择性审计

Audit提供了筛选感兴趣事件的审计报告并调整