Linux: audit;如何知道有哪一个程序访问了某个文件? auditctl

已于 2025-06-16 08:14:02 修改
阅读量522 收藏
点赞数 1
CC 4.0 BY-SA版权
分类专栏: linux command 云平台运维 文章标签: linux 运维 服务器
于 2022-10-23 21:15:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36428903/article/details/127480929
本文介绍了如何使用Linux的audit机制来跟踪和监控哪些程序访问了特定文件。通过`auditctl`工具设置文件监控,并关注`auditd`服务的状态。此外,还提到了使用systemtap作为另一种方法,但该方法可能需要更多配置工作。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

参考

https://www.man7.org/linux/man-pages/man7/audit.rules.7.html
https://access.redhat.com/solutions/473223

编译配置

CONFIG_AUDIT

参数

audit

__setup(“audit=”, audit_enable);
audit= [KNL] Enable the audit sub-system, Format: { “0” | “1” | “off” | “on” }
0 | off - kernel audit is disabled and can not be enabled until the next reboot
unset - kernel audit is initialized but disabled and will be fully enabled by the userspace auditd.
1 | on - kernel audit is initialized and partially enabled, storing at most audit_backlog_limit messages in RAM until it is fully enabled by the userspace auditd.
Default: unset

了解本专栏 订阅专栏 解锁全文
Linux 系统管理和监控命令---- auditctl 命令
redrose2100的博客
12-28 1703
auditctlLinux 审计系统(audit system)的一部分,它允许管理员配置审计规则,以跟踪和记录系统活动。这些规则可以帮助你监控对特定文件访问、追踪特定用户的活动或记录系统调用。以下是auditctl
linux监控文件变化的程序,在 Linux 下监控程序修改文件
weixin_35478664的博客
05-07 2144
工作中, 有时候我们需要知道某个文件是否被修改了, 被哪个程序修改了. Linux 下可以很方便地监控某个文件被修改的记录. 根据目的不同, Linux 下有不同的监视文件文件夹的方案.A. AuditdAuditd 可以很方便监控记录哪些程序和用户对指定文件 (即使不存在) 做的操作.安装 auditd一般发行版软件仓库里都会有 auditd 安装包. 如果默认没有安装, 可以很方便地利用包管...
linux进程监听文件内容,Linux 监控文件被什么进程修改(详解)
weixin_35286137的博客
04-28 1297
Linux 监控文件被什么进程修改(详解)安装: apt-get install auditd.1.auditd 是后台守护进程,负责监控记录2.auditctl 配置规则的工具3.auditsearch 搜索查看4.aureport 根据监控记录生成报表比如,监控 /root/.ssh/authorized_keys 文件是否被修改过:aditctl -w /root/.ssh/authoriz...
linux实时监测文件,Linux监视文件,linux,监控,某个
weixin_36238073的博客
04-29 888
可监控的事件有几种事件能够被监控。一些事件,比如 IN_DELETE_SELF 只适用于正在被监控的项目,而另一些,比如 IN_ATTRIB 或者 IN_OPEN 则只适用于监控过的项目,或者如果该项目是目录,则可以应用到其所包含的目录或文件。IN_ACCESS被监控项目或者被监控目录中的条目被访问过。例如,一个打开的文件读取。IN_MODIFY被监控项目或者被监控目录中的条目被修改过。例如,一...
谁动了我的文件——使用audit监控文件和目录
Blue summer的博客
07-13 1万+
有时候在系统上经常会遇到某个文件不知被谁修改了,或者删除了,又找不到证据,这时候audit就派上用场了。 比如我要监控/var/log/test这个目录,可以这样新增一个监控项, [root@CentOS-7-2 /var/log/test]# auditctl -w /var/log/test [root@CentOS-7-2 /var/log/test]# auditctl -l -w...
Linux 应用程序调用外部程序,linux中这样优雅调用外部程序
weixin_34820751的博客
05-01 1282
linux下写程序时,为了复用已经存在的程序或避免不稳定的第三方库导致主进程crash, 需要调用外部程序去实现相应的功能。这时很多人会直接使用标准库里的函数,如C/C++中的system/popen。从源码可以看到,system或popen都是fork+exec这种linux经典的方式去调用外部程序。但是如果没有合理地使用fork+exec,可能会产生一些意想不到问题,或者满足不了需求。下面是...
linux监控文件操作行为
weixin_40539956的博客
04-15 2240
关键词(key)在这个上下文中是完全自定义的。当你使用 -k 参数在 auditd 规则中指定一个关键词时,这个关键词用于标记和识别与该规则相关的审计事件。这意味着你可以使用任何有意义的字符串作为关键词,以便于后续在审计日志中快速过滤和查找相关事件。-k auth-change 中的 auth-change 是一个自定义关键词,用于标识和过滤与 /etc/pam.d/common-auth 文件更改相关的审计事件。
Linux audit 安全审计干货
qq_40795955的博客
05-13 2514
目录简介一丶审计规则(Auditctlaudit.rules)二丶配置文件auditd.conf)三丶报告工具(aureport)四丶事件查找(ausearch) 简介 简单来说,修改两个配置文件(/etc/audit/audit.rules 和/etc/audit/auditd.conf ),然后通过aureport和ausearch生成和分析数据。要使用安全审计系统可采用下面的步骤:内核选项勾选和安装软件包(上篇文章已介绍)。添加审计规则,修改配置文件,然后启用 audit 守护进程进行日志记
Linux 系统管理和监控命令---- auditctl命令
weixin_46356409的博客
11-13 1803
auditctl一个强大的工具,用于配置和管理 Linux 审计系统的规则。通过使用auditctl,可以监视文件和目录的访问、系统调用以及其他重要的系统事件。结合ausearch和aureport,可以有效地查询和报告审计日志,帮助管理员进行安全审计和合规性检查。
audit审计规则配置方法
热门推荐
bigwood99的博客
09-06 2万+
1.概述 Linux提供了一个审计服务auditd。 默认情况下,开启这个服务只记录较少的资料。 这可能不满足大多数人的需要。但是如果开启全部记录,对于生产环境,可能负载过重,导致影响正常的服务。因此,根据实际需要进行配置是必须的。 Linux系统提供了一些配置的例子可以参考。 /usr/share/doc/audit-2.4.5 audit规则可以使用auditctl命令或配置规则文件来实现。 auditctl命令可以立即生效,但是重启服务会丢失配置的规则。 使用配置文件配置,需...
Linux系统之auditctl命令详解
weixin_56303229的博客
03-05 812
auditctlLinux 审计系统(Audit System)的一个命令行工具,用于控制系统审计的行为。它允许用户配置内核审计模块,控制哪些事件应该被记录、如何记录以及存储在什么地方等。通过 auditctl,可以定义详细的审计规则来监控文件访问、系统调用、网络活动等多种类型的系统行为,这对于安全审计和合规性检查非常有用。
linux内核audit,用Audit执行Linux系统和安全审计
weixin_35982453的博客
04-29 664
Linux Audit守护进程是一个可以审计Linux系统事件的框架。在本文中,我们一起看看安装、配置和使用这个框架来执行Linux系统和安全审计。审计目标通过使用一个强大的审计框架,系统可以追踪很多事件类型来监控和并审计它。这样的例子包括:审计文件访问和修改看看谁改变了一个特殊文件检测未授权的改变监控系统调用和函数检测异常,比如崩溃的进程为入侵检测目的设置“导火线”记录各个用户使用的命令组件这个...
audit审计
qgw5205220的博客
07-30 1198
什么是审计 --基于事先配置的规则生成日志,记录可能发生在系统上的事件 --审计不会为系统提供额外的安全保护,但她会发现并巨鹿违反安全策略的人及其对应的行为 --审计能够记录的日志内容 --日期与事件、事件结果 --触发事件的用户 --所有认证机制的使用都可以被记录,如ss...
audit详细使用配置
张无忌
05-09 4189
Linux audit通过分析系统上正在发生的细节信息,能够有效帮助您提高系统的安全。但是,它本身不提供额外的安全性保障----它不会保护你的系统免受代码故障或者任何类型的漏洞攻击。Audit服务对跟踪这些安全问题非常有用,并且有效帮助我们采取何种针对性的安全措施。
【安全】linux audit审计使用入门
追寻梦想的青春
10-11 5727
rules:审计规则,其中配置了审计系统需要审计的操作auditctl:用户态程序,用于审计规则配置和配置变更kaudit:内核空间程序,根据配置好的审计规则记录发生的事件auditd:用户态程序,通过netlink获取审计日志用户通过auditctl配置审计规则内核的kauditd程序获取到审计规则后,记录对应的审计日志用户态的auditd获取审计日志并写入日志文件audit的主要应用场景是安全审计,通过对日志进行分析发现异常行为。
Linux安全之auditd审计工具使用说明
Innocence_0的博客
02-27 6463
audited是Linux审核系统的用户空间组件。它负责将审核记录写入磁盘。查看日志是通过ausearch或aureport实用程序完成的。审核系统或加载规则的配置是使用auditctl实用程序完成的。在启动过程中,/etc/audit/audit.rules中的规则由auditctl读取并加载到内核中。另外,还有一个augenrules程序,它读取/etc/audit/rules.d/中的规则,并将它们编译为audit.rules文件
Linux内核:进程管理——安全审计
m0_74282605的博客
04-17 1598
audit.rules 是 audit 的规则文件,确定 audit 的日志中记录哪些操作。syslog记录的信息有限,主要目的是软件调试,跟踪和打印软件的运行状态,而audit的目的则不同,它是linux安全体系的重要组成部分,是一种“被动”的防御体系。在内核里有内核审计模块,记录系统中的各种动作和事件,比如系统调用,文件修改,执行的程序,系统登入登出和记录所有系统中所有的事件,它的主要目的是方便管理员根据日记审计系统是否允许有异常,是否有入侵等等,说穿了就是把和系统安全有关的事件记录下来。
审计规则配置
weixin_44683938的博客
01-24 2642
groupadd shenjiguanli useradd -g shenjiguanli audit audit 配置文件简介 audit 安装后会生成 2 个配置文件: /etc/audit/auditd.conf 和/etc/audit/audit.rules 。/etc/audit/auditd.conf 是守护程序的默认配置文件。/etc/audit/audit.rules 是记录审计规则的文件。首次安装 audit 后, 审计规则文件是空的。 注意: #查看审计规则 #auditctl -l
auditctl 监控文件修改
csdnhadoop的博客
04-29 6747
设置监控: auditctl  -w /root/dead.letter -p wxa -k "mon_dead" -w 监控文件路径 /root/dead.letter  -p 监控文件筛选 r(读) w(写) x(执行) a(属性改变) -k 筛选字符串,用于查询监控日志 设置了监控后,会在/var/log/audit/audit.log里出现日志。 可以用
Linux如何防止攻击者通过Linux内核漏洞给自己的应用提权
最新发布
03-23
seccomp是一个强大的工具,可以限制进程能够执行的系统调用,减少攻击面。比如,容器运行时如Docker就使用seccomp来限制容器内的系统调用。 审计和监控工具,如auditd,可以记录系统调用和异常行为,帮助及时发现...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

mzhan017

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值