我們知道在Linux系統(tǒng)中有大量的日志文件可以用于查看應(yīng)用程序的各種信息，但是對(duì)于用戶的操作行為（如某用戶修改刪除了某文件）卻無法通過這些日志文件來查看，如果我們想實(shí)現(xiàn)監(jiān)管企業(yè)員工的操作行為就需要開啟審計(jì)功能，也就是audit。

1、首先執(zhí)行以下命令開啟auditd服務(wù)

| 1 | service auditd start |

2、接著查看看auditd的服務(wù)狀態(tài)，有兩種方法可以實(shí)現(xiàn)，使用auditctl命令時(shí)主要看enabled是否為1，1為開啟，0為關(guān)閉

[root@ns-master-c01 ~]``# service auditd status` |

`auditd (pid 20594) is running...
[root@ns-master-c01 ~]``# auditctl -s

| 5 | AUDIT_STATUS: enabled=1 flag=1 pid=20594 rate_limit=0 backlog_limit=320 lost=0 backlog=0 |

3、開啟了autid服務(wù)后，所有的審計(jì)日志會(huì)記錄在/var/log/audit/audit.log文件中，該文件記錄格式是每行以type開頭，其中紅框處是事件發(fā)生的時(shí)間（代表從1970年1月1日到現(xiàn)在過了多久，可以用date命令轉(zhuǎn)換格式），冒號(hào)后面的數(shù)字是事件ID，同一個(gè)事件ID是一樣的。

audit1.jpg

4、audit可以自定義對(duì)指定的文件或命令進(jìn)行審計(jì)（如監(jiān)視r(shí)m命令被執(zhí)行、/etc/passwd文件內(nèi)容被改變），只要配置好對(duì)應(yīng)規(guī)則即可，配置規(guī)則可以通過命令行（臨時(shí)生效）或者編輯配置文件（永久生效）兩種方式來實(shí)現(xiàn)。

命令行語法（臨時(shí)生效****）****：

| 1 | auditctl -w /bin/``rm -p x -k removefile ``#-w指定所要監(jiān)控的文件或命令 |

| 2 | #-p指定監(jiān)控屬性，如x執(zhí)行、w修改 |

| 3 | #-k是設(shè)置一個(gè)關(guān)鍵詞用于查詢 |

編輯配置文件（****永久生效）****：

auditd的配置文件為/etc/audit/audit下的auditd.conf 和audit.rules，auditd.conf 主要是定義了auditd服務(wù)日志和性能等相關(guān)配置，audit.rules才是定義規(guī)則的文件，下面是一個(gè)例子，其實(shí)就是把a(bǔ)uditctl的命令直接拿過來即可，auditctl里支持的選項(xiàng)都可以在這個(gè)文件里指定

audit3.jpg

修改完后重啟服務(wù)

| 1 | service auditd restart |

5、如果直接使用tailf等查看工具進(jìn)行日志分析會(huì)比較麻煩，好在audit已經(jīng)提供了一個(gè)更好的事件查看工具——ausea****rch，使用auserach -h查看下該命令的用法：

audit2.jpg

這里列出幾個(gè)常用的選項(xiàng)：

-a number #只顯示事件ID為指定數(shù)字的日志信息，如只顯示926事件：ausearch -a 926

-c commond #只顯示和指定命令有關(guān)的事件，如只顯示rm命令產(chǎn)生的事件：auserach -c rm

-i #顯示出的信息更清晰，如事件時(shí)間、相關(guān)用戶名都會(huì)直接顯示出來，而不再是數(shù)字形式

-k #顯示出和之前auditctl -k所定義的關(guān)鍵詞相匹配的事件信息

通過下圖可以看到每個(gè)事件被虛線分開，用戶名和執(zhí)行的操作也都能清晰的看到了：

audit4.jpg

6、使用auditctl還可以查看和清空規(guī)則

查看源碼

<embed width="16" height="16" id="highlighter_638828_clipboard" type="application/x-shockwave-flash" title="復(fù)制到剪貼板" allowscriptaccess="always" wmode="transparent" flashvars="highlighterId=highlighter_638828" menu="false" src="http://www.linuxe.cn/content/plugins/et_highlighter51/scripts/clipboard.swf" style="margin: 0px; padding: 0px; outline: 0px; zoom: 1; max-width: 96%;">

摘自 http://www.linuxe.cn/post-255.html

| 1 | auditctl -l 查看定義的規(guī)則 |

| 2 | auditctl -D 清空定義的規(guī)則 |