审计linux命令 审计指令( 二 )


# auditctl -l | grep wazuh_fim
并检查是否添加了规则
当代理停止时,我们可以使用相同的命令检查添加的规则是否已成功删除 。
2、警报字段
当启用whodata时,在FIM警报中接收到以下字段:
3、警报的例子
在下面的示例中,我们可以看到用户Smith是如何向文件/etc/hosts.添加新IP的允许使用具有sudo权限的nano编辑器:
日志格式警告:
JSON格式的警告:
二、在Windows中审计who-data
1、它是如何工作的
who-data监视功能使用Microsoft Windows审计系统获取关于谁在监视目录中进行了更改的信息 。这些更改产生审计事件,这些审计事件由syscheck处理并报告给管理者 。兼容大于Windows Vista的系统 。
2、配置
要在whodata模式下启动监视,必须正确配置要监视的目录的SACL 。Wazuh在启动ossec.conf文件中标记whodata="https://www.04ip.com/post/yes"的目录时自动执行此任务:
系统审计策略也需要正确配置 。对于大多数受支持的Windows系统 , 这部分也是自动完成的 。如果您的系统优于Windows Vista,但审计策略无法自配置,请参阅配置本地审计策略指南 。
三、警报字段
启用whodata时,将收到以下字段:
四、警报的例子
日志格式警告:
JSON格式的警告:
Linux自带的审计功能Linux自带的script命令,可以记录终端的输出,用来完成简单的审计功能
这样用户登陆后执行的操作都会记录到/mnt/log/script/*.log(目录自己根据服务器目录定义)里,这里把用户ID 大于1000的都记录下操作 。
linux日志 audit 我们知道在Linux系统中有大量的日志文件可以用于查看应用程序的各种信息,但是对于用户的操作行为(如某用户修改删除了某文件)却无法通过这些日志文件来查看,如果我们想实现监管企业员工的操作行为就需要开启审计功能 , 也就是audit 。
1、首先执行以下命令开启auditd服务
|1|service auditd start|
2、接着查看看auditd的服务状态,有两种方法可以实现,使用auditctl命令时主要看enabled是否为1,1为开启,0为关闭
[root@ns-master-c01 ~]``# service auditd status` |
`auditd (pid20594) is running...
[root@ns-master-c01 ~]``# auditctl -s
|5|AUDIT_STATUS: enabled=1 flag=1 pid=20594 rate_limit=0 backlog_limit=320 lost=0 backlog=0|
3、开启了autid服务后,所有的审计日志会记录在/var/log/audit/audit.log文件中,该文件记录格式是每行以type开头 , 其中红框处是事件发生的时间(代表从1970年1月1日到现在过了多久,可以用date命令转换格式),冒号后面的数字是事件ID,同一个事件ID是一样的 。
4、audit可以自定义对指定的文件或命令进行审计(如监视rm命令被执行、/etc/passwd文件内容被改变),只要配置好对应规则即可 , 配置规则可以通过命令行(临时生效)或者编辑配置文件(永久生效)两种方式来实现 。
命令行语法(临时生效****)****:
|1|auditctl -w /bin/``rm-p x -k removefile ``#-w指定所要监控的文件或命令|
|2|#-p指定监控属性 , 如x执行、w修改|
|3|#-k是设置一个关键词用于查询|
编辑配置文件(****永久生效)****:
auditd的配置文件为/etc/audit/audit下的auditd.conf 和audit.rules,auditd.conf 主要是定义了auditd服务日志和性能等相关配置,audit.rules才是定义规则的文件,下面是一个例子,其实就是把auditctl的命令直接拿过来即可 , auditctl里支持的选项都可以在这个文件里指定
修改完后重启服务
|1|service auditd restart|
5、如果直接使用tailf等查看工具进行日志分析会比较麻烦,好在audit已经提供了一个更好的事件查看工具—— ausea****rch,使用auserach -h查看下该命令的用法:

推荐阅读