一般的小型服务器自身会通过 Linux 审计系统(auditd) 生成的所有审计事件记录的主要日志文件,它一般呢会保存在如/var/log/audit/目录。可以通过ausearch命令,主动查询相关的系统事件
基本概念说明
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
| #1,如果系统不存在该工具,可以通过yum 或者dnf安装audit工具包
sudo dnf install audit -vvv
#2,相关可用选项
ausearch
#
--start <时间> 指定搜索的起始时间。 --start today (从今天开始)
--end <时间> 指定搜索的结束时间。 --end now (到当前时间)
#
-m <类型> 按消息类型搜索。 -m USER_LOGIN (搜索所有登录事件)
#
-k <键名> 搜索您在 /etc/audit/audit.rules 中设置的 key(关键字)。 -k important_file
#
-ul <用户名> 按登录用户 ID (loginuid) 搜索。 -ul root (搜索 root 用户登录会话中的事件)
#
-x <程序名> 按可执行文件的名称搜索。 -x bash
#
-f <文件路径> 搜索与特定文件相关的事件。 -f /etc/passwd
#按成功/失败
-sv <值> 搜索成功或失败的事件。 -sv no (搜索失败的事件)
|
具体案例
1
2
3
4
5
6
| # 1,查看用户登录失败的事件记录,用于分析是否有非预期用户尝试登录
sudo ausearch -m USER_LOGIN --format json
# 2,查看/etc/shadow文件的访问记录
sudo ausearch -i -f /etc/shadow --format text
# 3, 查看指定用户昨日的活动记录
sudo ausearch -i -ul your_username --start yesterday --format text
|
