为什么需要系统审计工具
想象下服务器半夜被异常登录却找不到痕迹有多抓狂!auditd就是Linux系统的”黑匣子”,它能记录谁动了你的文件、执行了啥命令。Ubuntu自带这个强力监控工具,但很多人装完就放着吃灰。其实合理配置后,它能帮你揪出可疑操作,就像给系统装了24小时监控探头。
快速安装与基础配置
打开终端输入sudo apt install auditd audispd-plugins就能装上全家桶。关键配置文件在/etc/audit/auditd.conf,这几个参数必须调:
- log_file:日志路径(建议放单独分区)
- max_log_file:单个日志最大300MB防爆盘
- num_logs:保留5份轮转日志最保险
小贴士:用
sudo systemctl restart auditd生效配置后,运行sudo auditctl -s查看状态,出现”enabled 1″才算真启动!
自定义监控规则实战
默认规则太宽松,得按需定制。比如监控敏感目录:
# 监控/etc密码文件变动 sudo auditctl -w /etc/passwd -p wa -k password_change # 追踪sudo提权操作 sudo auditctl -a always,exit -F arch=b64 -S execve -C auid!=unset -F exe=/usr/bin/sudo
规则保存在/etc/audit/rules.d/目录下,文件名用.rules后缀。用auditctl -l验证规则是否加载成功。
日志分析技巧大全
日志在/var/log/audit/audit.log,原始数据像天书?试试这些命令:
| 命令 | 功能 | 示例 |
|---|---|---|
| ausearch | 按条件过滤 | ausearch -k password_change -i |
| aureport | 生成统计报告 | aureport --failed --summary |
| tailf | 实时监控 | sudo tailf audit.log | grep USER_LOGIN |
发现大量SYSCALL=openat失败记录?可能是暴力破解迹象!
性能优化与避坑指南
监控太多会导致:①日志暴涨塞满磁盘 ②系统变卡。解决方案:
- 用
-F "dir!=/tmp"排除临时目录 - 对高频率操作改用
-p r仅记录读权限 - 定期用
ausearch -if /path/to/log --raw | audit2allow清理无效日志
千万注意:误删audit.log文件会导致服务崩溃!修复要用sudo touch /var/log/audit/audit.log重建文件再重启服务。
高级监控场景拓展
结合audispd插件实现邮件报警:
# 在/etc/audisp/plugins.d/af_unix.conf启用 active = yes # 配置/etc/audisp/audisp-remote.conf remote_server = smtp.example.com
还能用Linux Audit Exporter把日志转给Prometheus,配合Grafana做可视化看板。曾有个案例:某公司通过监控/usr/bin/wget调用,成功阻断挖矿脚本横向扩散!
内容均以整理官方公开资料,价格可能随活动调整,请以购买页面显示为准,如涉侵权,请联系客服处理。
本文由星速云发布。发布者:星速云。禁止采集与转载行为,违者必究。出处:https://www.67wa.com/150479.html
