auditd日志分析方法

最新推荐文章于 2025-04-23 17:52:21 发布
最新推荐文章于 2025-04-23 17:52:21 发布
阅读量3.1k 收藏 4
点赞数 2
CC 4.0 BY-SA版权
分类专栏: 杂项 文章标签: auditd
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_38637595/article/details/117173170
本文介绍了如何分析auditd日志,包括了解auditd原理,分析已知和未知bash进程ID的情况,以及进阶的统计方法。通过日志可以追踪文件操作,确定用户执行的动作。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

auditd是监听目录下的文件操作

你可以通过auditd配置你要监听的目录,之后对这个目录下的操作会记录到autitd的日志中

这里先不讲如何去配置auditd,这里讲如何去分析auditd日志

auditd原理简介

  1. 首先我们创建文件也好,删除文件也好,都是由进程帮我们去执行的

  2. linux内核提供接口,可以查询进程对文件的操作

  3. autitd记录的就是文件操作时涉及到的数据记录下来

所以只要分析日志就可以判断出是谁对哪个文件进行了什么操作

本文只分享分析方法,这里就讲得粗糙些

怎么去分析

这里给出两个例子,一个是知道登录时的bash进程id,另一个是不知道

在这两种情况下如何去分析日志

为什么要知道bash进程id?

  • 因为登录服务器后,输入的命令都是通过这个bash进程传递linux去执行
  • 也就是说你登录服务器后所有运行的命令都是bash这个进程的子进程
  • 所以只要分析bash这个进程的子进程进行了什么样的操作就可以知道用户执行了什么操作

首先确认下配置

确认下auditd的配置,查以看出他监控了/opt/context/EPG目录

# 新建一个规则
auditctl -w /opt/context/EPG -p wa -k watchdata

# 查看我们新建的规则
auditctl -l
-w /opt/context/EPG -p wa -k watchdata

没什么特殊配置,就是监听了/opt/context/EPG这个目录,并配置了key为watchdata(方便我们查看日志)

知道bash进程id

我们先登录服务器

可以看到日志/var/log/audit/audit.log中记录了以下信息

type=CRYPTO_KEY_USER msg=audit(1614316640.869:11712): pid=16275 uid=0 auid=0 ses=1249 msg='op=destroy kind=server fp=SHA256:f3:c7:dd:6e:c4:cf:6e:ac:b6:ab:ea:ad:c4:36:b8:26:a9:bd:b2:69:27:8d:44:8b:5c:9e:e8:ab:4d:e6:1e:da direction=? spid=16275 suid=0  exe="/usr/sbin/sshd" hostname=fcg-1 addr=? terminal=pts/3 res=success'UID="root" AUID="root" SUID="root"
type=CRYPTO_KEY_USER msg=audit(1614316640.869:11713): pid=16275 uid=0 auid=0 ses=1249 msg='op=destroy kind=server fp=SHA256:62:ed:84:c4:f5:a1:ac:cd:eb:fa:ca:68:81:87:21:9e:fe:e4:ff:92:e3:f5:fa:53:4f:3e:38:58:a2:74:a1:91 direction=? spid=16275 suid=0  exe="/usr/sbin/sshd" hostname=fcg-1 addr=? terminal=pts/3 res=success'UID="root" AUID="
最低0.47元/天 解锁文章

200万优质内容无限畅学
SELinux系列(十五)—auditd日志使用方法详解
请大家直接把问题写在评论区或留言,不要只说一句"你好 或 在吗",我会尽快回复的。
08-23 2285
auditd 会把 SELinux 的信息都记录在 /var/log/auditd/auditd.log 中。 这个文件中记录的信息会非常多,如果手工查看, 则效率将非常低下。比如笔者的 Linux 中这个日志的大小就有 386KB。 [root@localhost ~]# ll -h /var/log/audit/audit.log -rw-------.1 root root 386K 6月 5 15:53 /var/log/audit/audit.log 而且我们这里的 Linux 只是实验
SELinux auditd日志使用方法详解
Linux脚本程序包及安装方法(以webmin安装为例)详解
02-06 934
auditd 会把 SELinux 的信息都记录在 /var/log/auditd/auditd.log 中。这个文件中记录的信息会非常多,如果手工查看,则效率将非常低下。比如笔者的 Linux 中这个日志的大小就有 386KB。 [root@localhost ~]# ll -h /var/log/audit/audit.log -rw——-.1 root root 386K 6月 5 ...
audit审计日志分析
龙在江湖
08-29 3188
记录部分 名称 描述 类型= AVC 日志类型 仅在audit.log文件中;它通知用户这是什么类型的审计日志类型。所以在我们的例子中,它是一个AVC日志条目 味精=审计(1363289005.532:184) 时间戳 自纪元以来以秒为单位的时间戳,表示自1970年1月1日以来的秒数。您可以使用日期-d @后跟数字将其转换为更易于阅读的格式,如下所示:...
【安全】使用auparse解析auditd审计日志
追寻梦想的青春
12-21 1114
通过auparse就可以快速方便的实现字段的解析和提取,但是需要注意的是,一旦调用auparse_feed将数据给到auparse,auparse会先放到队列,然后进行解析,因此,如果审计日志量级比较大,有可能放到队列的操作会失败,也就是调用auparse_feed失败,如果想增大日志处理的吞吐量,可以创建一个比较大缓存队列,收到日志后,先放到队列,然后再从队列中取出后调用auparse_feed。在序列号后面就是若干字段。
audit审计
教Linux的李老师
04-23 605
审计系统根据一组审计规则运行,这些规则定义了日志文件中捕获的内容,可以指定三种类型的审计规则控制规则–允许修改审计系统的行为以及某些配置文件系统规则-也称为文件监视,允许审计对特定文件或目录的访问系统调用规则–允许记录任何指定程序进行的系统调用可以使用auditctl程序在命令行指定审计规则(请注意,这些规则在重新启动后不会持久),或写入文件# 创建审计规则文件 touch /etc/audit/rules.d/10-root-commands.rules配置审计规则内容如下。
Auditd - Linux 服务器安全审计工具
闲云孤鹤
02-20 4496
首先,Linux中国祝贺读者 2015羊年春节快乐,万事如意! 。下面开始这个新年版审计工具的介绍。 安全防护是首先要考虑的问题。为了避免别人盗取我们的数据,我们需要时刻关注它。安全防护包括很多东西,审计是其中之一。 我们知道Linux系统上有一个叫 auditd 的审计工具。这个工具在大多数Linux操作系统中是默认安装的。那么auditd 是什么?该如何使用呢?下面我们开始介绍。
linux audit审计(7)--读懂audit日志
weixin_30409849的博客
04-12 569
让我们先来构造一条audit日志。在home目录下新建一个目录,然后配置一条audit规则,对这个目录的wrax,都记录审计日志auditctl -w /home/audit_test -p wrax -k audit_test root用户访问audit_test目录时,即在这个目录下ls,审计日志如下: type=SYSCALL msg=audit(1523501721....
53命令使用_SELinux auditd日志使用方法详解
weixin_30458701的博客
01-05 511
auditd 会把 SELinux 的信息都记录在 /var/log/auditd/auditd.log 中。这个文件中记录的信息会非常多,如果手工查看,则效率将非常低下。比如笔者的 Linux 中这个日志的大小就有 386KB。[root@localhost ~]# ll -h /var/log/audit/audit.log-rw-------.1 root root 386K 6月...
Auditd的常见的配置场景和审计日志查看方法
weixin_46356409的博客
11-26 2193
通过配置auditd,可以监控和记录系统中的各种安全相关事件。常见的配置场景包括文件和目录访问审计、用户登录和注销审计、系统调用审计以及用户命令审计。审计日志通常存储在文件中,可以使用ausearch和aureport工具查看和分析审计日志。为了确保审计规则在系统重启后仍然有效,可以将规则写入目录下的配置文件中,并重启auditd服务以应用新的规则。
日志分析系列之平台实现
bloodzer0
03-04 1333
本系列故事纯属虚构,如有雷同实属巧合 平台实现前的说明 小B在给老板汇报了"统一日志分析平台"项目后,老板拍板立即开始做,争取下一次能及时发现攻击并且追踪攻击者。于是小B开始分析了市面上商业与开源的日志分析平台架构,大家都神似如下图: 知道了架构如何,接下来的关键就是每层之间选择什么样的产品了。关于如何选择,小B推荐了几个方面: 已有架构:避免基础能力的重复,使用目前IT基础框架中已有的东西。...
linux audit审计(7-1)--读懂audit日志
weixin_30491641的博客
04-12 511
auid=0   auid记录Audit user ID,that is the loginuid。当我使用lbh用户登录系统时,再访问audit_test,此时记录的auid为1001,具体日志如下: type=SYSCALL msg=audit(1523513135.147:4172990525): arch=c000003e syscall=257 success=yes exit...
linux audit 日志解析,一种用于Linux的audit日志分析方法与流程
weixin_39710361的博客
05-03 726
技术特征:1.一种用于Linux的audit日志分析方法,其特征在于,通过在Linux操作系统中进行Audit的配置及分析,从Audit子系统中查看系统事件,搜索确定安全裂口;其实现过程主要包括如下步骤:1)audit服务端安装,2)audit客户端配置,3)修改audit规则,4)audit分析。2.根据权利要求1所述一种用于Linux的audit日志分析方法,其特征在于,所述1)audit服务...
linux服务——auditd
热门推荐
updba的专栏
03-24 1万+
审计(audit)是linux安全体系的重要组成部分,他是一种“被动”的防御体系。 在内核里有内核审计模块,核外有核外的审计后台进程auditd。 应用程序给内核发送审计消息,内核的审计模块再把消息转发给用户空间的后台进程auditd处理。 大概就是这么回事,我不是太深入,如果需要更多的内容,自己去查阅相关资料。如果没有好的资料,我推荐一本,《linux安全体系分析与编程》作者倪继利 。
Linux中查看日志文件的正确姿势,求你别tail走天下了!
勇往直前的专栏
03-23 536
作为一个后端开发工程师,在Linux中查看查看文件内容是基本操作了。尤其是通常要分析日志文件排查问题,那么我们应该如何正确打开日志文件呢?对于我这种小菜鸡来说,第一反应就是 cat,tail,vi(或vim)了,是的,我曾经用过好多次vim编辑器来查看日志文件(可耻)。 千万不要使用vi命令来查看大文件内容, 尤其对于那些几十G的大文件。因为vi仅仅是一个编辑器(可以理解为windows中的记事...
kubernetes 审计与日志 详解
sxpnp的博客
01-09 1304
如有问题,以你为准
SELinux auditd日志系统的安装与启动
Linux脚本程序包及安装方法(以webmin安装为例)详解
02-06 789
当查看特定安全上下文的策略规则时,SELinux 会使用被称为 AVC(Access Vector Cache,访问矢量缓存)的缓存,如果访问被拒绝(也被称为 AVC 拒绝),则会在一个日志文件中记录下拒绝消息。 这些被拒绝的消息可以帮助诊断和解决常规的 SELinux 策略违规行为,至于这些拒绝消息到底被记录在什么位置,则取决于 auditd 和 rsyslogd 守护进程的状态: 若...
linux audit 日志 查看用户_怎么查看Linux系统用户登录日志
weixin_39681621的博客
11-25 546
请关注本头条号,每天坚持更新原创干货技术文章。如需学习视频,请在微信搜索公众号“智传网优”直接开始自助视频学习。1. last命令简介该命令用来列出目前与过去登录系统的用户相关信息。原文描述说明:show listing of last logged in users2. last命令文件位置[root@zcwyou ~]# which last/usr/bin/last3. last命令原理执行...
Office365 - 如何查询Audit log
WarmSunshine7的博客
02-16 864
在做Office365维护的时候,经常会因为一些user report issue,查询change request等需求需要查询Audit log,那么如何在Office365进行查询呢?本文对此做介绍。
linux 0755,linux audit审计(7-1)--读懂audit日志
weixin_39931146的博客
05-25 355
auid=0auid记录Audit user ID,that is the loginuid。当我使用lbh用户登录系统时,再访问audit_test,此时记录的auid为1001,具体日志如下:type=SYSCALL msg=audit(1523513135.147:4172990525): arch=c000003e syscall=257 success=yes exit=3 a0=fff...
auditd启动慢
最新发布
05-09
<think>好的,我现在要解决auditd启动缓慢的问题。首先,我需要了解auditd是什么以及它在系统中的角色。根据引用[2],Systemd是系统启动和管理的解决方案,而auditd作为守护进程,负责系统的审计功能。如果启动慢,可能是配置问题或依赖服务延迟。 用户提到之前尝试过修改auditd.conf文件,比如注释掉max_log_file参数并重启服务,如引用[1]所述。这可能解决了某些配置错误,但启动慢的问题依然存在。我需要考虑其他可能的原因。 首先,检查auditd的启动日志,使用journalctl -u auditd.service查看是否有错误或警告信息。如果有日志文件过大或权限问题,可能导致启动延迟。引用[4]提到审计规则配置,如果规则过多或复杂,可能增加启动时间。检查/etc/audit/rules.d/中的规则,适当简化或优化。 另外,Systemd的服务依赖关系可能影响启动时间。查看auditd的unit文件,确认是否有不必要的依赖或需要调整的启动顺序。使用systemctl edit auditd.service覆盖配置,添加[Service]段中的TimeoutStartSec参数,增加启动超时时间,避免因超时导致的失败。 还有可能是磁盘I/O慢,尤其是如果审计日志存储在慢速磁盘上。考虑将日志目录挂载到更快的存储设备,或调整日志写入策略。检查auditd.conf中的flush参数,设置为sync或data可能会影响性能,改为incremental或none可能提升速度。 此外,检查系统资源是否充足,如内存不足可能导致服务启动缓慢。使用dmesg或top查看启动时的资源使用情况。更新auditd到最新版本也可能修复已知的性能问题。 最后,参考引用[3]中关于Ubuntu服务管理的建议,确保系统启动项优化,禁用不必要的服务,减少auditd启动时的竞争资源。</think>### 解决方案:auditd 启动缓慢的优化方法 #### 1. 检查审计规则复杂度 审计规则过多或匹配路径过广会导致初始化耗时: ```bash # 查看当前生效的审计规则 sudo auditctl -l # 精简规则文件(路径:/etc/audit/rules.d/audit.rules) sudo vim /etc/audit/rules.d/audit.rules ``` 建议使用`-F`参数优化规则过滤条件,避免使用通配符路径监控[^4]。 #### 2. 调整日志存储策略 修改`/etc/audit/auditd.conf`配置文件: ```ini max_log_file_action = rotate # 避免日志文件无限增长 num_logs = 5 # 保留5个历史日志 flush = incremental # 降低写入频率(原默认sync) ``` 调整后执行`service auditd restart`重启服务[^1]。 #### 3. 优化systemd单元配置 创建服务覆盖配置: ```bash sudo systemctl edit auditd.service ``` 添加以下内容: ```ini [Unit] After=systemd-tmpfiles-setup.service # 明确依赖关系 [Service] TimeoutStartSec=30s # 延长超时阈值 ExecStartPre=/bin/sleep 3 # 延迟启动(可选) ``` #### 4. 检查硬件性能瓶颈 使用`iotop`监控启动时的磁盘I/O: ```bash sudo iotop -oP ``` 若磁盘负载过高,建议将审计日志存储到独立SSD或RAM磁盘。 #### 5. 禁用冗余内核审计模块 检查加载的内核模块: ```bash lsmod | grep audit ``` 若存在`audit_backlog_limit`参数设置过低(默认64),可调整: ```bash echo 1024 > /sys/module/audit/parameters/backlog_limit ``` ### 验证方法 通过systemd分析启动耗时: ```bash systemd-analyze blame | grep auditd journalctl -u auditd.service --since "5 minutes ago" ``` ###
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值