centos 日志审计_CentOS7日志审计

一、用户空间审计系统简介

Linux 内核有用日志记录事件的能力，包括记录系统调用和文件访问。管理员可以检查这些日志，确定是否存在安全漏洞(如多次失败的登录尝试，或者用户对系统文件不成功的访问)。

Linux 用户空间审计系统由 auditd、audispd、auditctl、autrace、ausearch 和 aureport 等应用程序组成。下面依次说明：

auditctl：即时控制审计守护进程的行为的工具，如添加规则等。

auditd：audit 守护进程负责把内核产生的信息写入到硬盘上，这些信息由应用程序和系统活动触发产生。用户空间审计系统通过 auditd 后台进程接收内核审计系统传送来的审计信息，将信息写入到 /var/log/audit/audit.log。

aureport：查看和生成审计报告的工具。

ausearch：查找审计事件的工具

auditspd：转发事件通知给其他应用程序，而不是写入到审计日志文件中。

autrace：一个用于跟踪进程的命令。

audit和syslog日志系统的关系

audit 主要用来记录安全信息，用于对系统安全事件的追溯，而 syslog 用来记录系统信息，如硬件警报和软件日志等。syslog 属于应用层，没办法记录太多信息，audit 用来记录内核信息，包括文件的读写，权限的改变等。

二、auditd配置文件

vi /etc/audit/auditd.conf

# 是否记录本地事件，如果设为no，只记录来自网络的事件

local_events = yes

write_logs = yes

# 日志文件

log_file = /var/log/audit/audit.log

log_group = root

log_format = RAW

# 日志文件刷新方式，可选的选项有：

# NONE：不做特别处理

# INCREMENTAL：用freq选项的值确定多长时间发生一次向磁盘的刷新

# DATA：审计数据和日志文件是同步的

# SYNC：写日志文件时，数据和元数据是同步的

flush = INCREMENTAL_ASYNC

freq = 50