auditd日志分析方法_audit日志怎么看

auditd是监听目录下的文件操作

你可以通过auditd配置你要监听的目录，之后对这个目录下的操作会记录到autitd的日志中

这里先不讲如何去配置auditd，这里讲如何去分析auditd日志

auditd原理简介

1. 首先我们创建文件也好，删除文件也好，都是由进程帮我们去执行的

2. linux内核提供接口，可以查询进程对文件的操作

3. autitd记录的就是文件操作时涉及到的数据记录下来

所以只要分析日志就可以判断出是谁对哪个文件进行了什么操作

本文只分享分析方法，这里就讲得粗糙些

怎么去分析

这里给出两个例子，一个是知道登录时的bash进程id，另一个是不知道

在这两种情况下如何去分析日志

为什么要知道bash进程id？

• 因为登录服务器后，输入的命令都是通过这个bash进程传递linux去执行
• 也就是说你登录服务器后所有运行的命令都是bash这个进程的子进程
• 所以只要分析bash这个进程的子进程进行了什么样的操作就可以知道用户执行了什么操作

首先确认下配置

确认下auditd的配置，查以看出他监控了/opt/context/EPG目录

# 新建一个规则
auditctl -w /opt/context/EPG -p wa -k watchdata

# 查看我们新建的规则
auditctl -l
-w /opt/context/EPG -p wa -k watchdata
1
2
3
4
5
6

没什么特殊配置，就是监听了/opt/context/EPG这个目录，并配置了key为watchdata（方便我们查看日志）

知道bash进程id

我们先登录服务器

可以看到日志/var/log/audit/audit.log中记录了以下信息

type=CRYPTO_KEY_USER msg=audit(1614316640.869:11712): pid=16275 uid=0 auid=0 ses=1249 msg='op=destroy kind=server fp=SHA256:f3:c7:dd:6e:c4:cf:6e:ac:b6:ab:ea:ad:c4:36:b8:26:a9:bd:b2:69:27:8d:44:8b:5c:9e:e8:ab:4d:e6:1e:da direction=? spid=16275 suid=0  exe="/usr/sbin/sshd" hostname=fcg-1 addr=? terminal=pts/3 res=success'UID="root" AUID="root" SUID="root"
type=CRYPTO_KEY_USER msg=audit(1614316640.869:11713): pid=16275 uid=0 auid=0 ses=1249 msg='op=destroy kind=server fp=SHA256:62:ed:84:c4:f5:a1:ac:cd:eb:fa:ca:68:81:87:21:9e:fe:e4:ff:92:e3:f5:fa:53:4f:3e:38:58:a2:74:a1:91 direction=? spid=16275 suid=0  exe="/usr/sbin/sshd" hostname=fcg-1 addr=? terminal=pts/3 res=success'UID="root" AU
1