auditd是linux审计核心工具,通过配置/etc/audit/auditd.conf设置日志路径、大小及磁盘预警,使用-w监控文件访问、-a定义系统调用和用户行为规则,结合-k标记事件,规则持久化至/etc/audit/rules.d/audit.rules,通过ausearch查询、aureport生成报告,需启用服务并合理管理日志量以保障安全合规。
Linux 的 auditd 是一个强大的审计工具,用于监控系统调用、文件访问、用户行为等安全相关事件。它通过内核中的 audit 子系统记录详细的日志信息,帮助管理员发现异常操作或满足合规要求。
auditd 基本配置
auditd 的主配置文件位于 /etc/audit/auditd.conf,用于设置日志存储路径、日志轮转策略和磁盘空间管理。
– log_file:指定日志输出路径,默认为 /var/log/audit/audit.log – max_log_file:单个日志文件最大大小(单位 MB) – max_log_file_action:达到上限后的行为,如 rotate、syslog 或 ignore – space_left 和 space_left_action:磁盘剩余空间不足时的响应动作,可设为 email、exec 或 suspend – admin_space_left:管理员预留空间,防止日志写满导致系统问题
修改配置后需重启服务生效:
systemctl restart auditd
定义审计规则
审计规则决定哪些事件需要被记录,规则可通过命令行临时添加,也可写入配置文件持久化。
规则文件通常位于 /etc/audit/rules.d/audit.rules,加载时由 auditd 读取。
-
监控特定文件或目录的访问:
-w /etc/passwd -p wa -k user_mod
其中 -p wa 表示监控写入(write)和属性变更(Attribute),-k 指定关键字便于检索 -
监控系统调用:
-a always,exit -F arch=b64 -S execve -k command_execution
记录所有 64 位环境下执行 execve 系统调用的命令,常用于追踪可疑程序启动 -
监控用户活动:
-a always,exit -F uid=1000 -F perm=r -k user_read
跟踪 UID 为 1000 的用户对文件的读取操作 -
规则语法说明:
-a 定义触发条件(always,exit 表示在退出系统调用时始终记录)
-F 添加过滤字段(如 arch、uid、gid、perm)
-S 指定系统调用名称
-k 为事件打标签,方便后期搜索
添加规则后建议使用 auditctl -l 查看当前生效规则。
查看与分析审计日志
日志默认写入 /var/log/audit/audit.log,应使用专用工具解析,避免直接查看原始内容。
-
使用 ausearch 检索日志:
ausearch -k user_mod —— 查找标记为 user_mod 的事件
ausearch -m USER -ts recent —— 查看最近的用户相关消息 -
使用 aureport 生成摘要报告:
aureport –summary —— 显示各类事件汇总
aureport -f -i —— 文件访问报告,-i 表示解析为可读形式
aureport -u -i —— 用户活动报告
常见事件类型包括 SYSCALL、CONFIG_CHANGE(规则变更)、USER_CMD(用户输入命令)等。
持久化规则与服务管理
临时规则在重启后会丢失,需保存到规则文件中。
将规则写入 /etc/audit/rules.d/audit.rules,格式与 auditctl 命令参数一致,每行一条规则。
确保服务开机自启:
systemctl enable auditd
常用服务命令:
– systemctl status auditd —— 查看服务状态 – auditctl -D —— 删除所有当前规则(慎用) – auditctl -R /etc/audit/rules.d/audit.rules —— 从文件加载规则
基本上就这些。合理配置 auditd 能显著提升系统的可观测性和安全性,但要注意日志量可能较大,建议结合日志归档和定期审查机制使用。