audit是什么

linux audit通过分析系统上正在发生的细节信息，能够有效帮助您提高系统的安全。但是，它本身不提供额外的安全性保障----它不会保护你的系统免受代码故障或者任何类型的漏洞攻击。Audit服务对跟踪这些安全问题非常有用，并且有效帮助我们采取何种针对性的安全措施

audit使用

auditctl -l

查看所有审计规则

auditctl -D

删除所有审计规则

service auditd start

启动服务

service auditd restart

服务重启

augenrules --load

重载配置信息

service auditd status

查看服务状态

/etc/audit/auditd.conf

应用的配置信息

/etc/audit/rules.d/audit.rules

添加规则的文件

/var/log/audit

日志所在目录

添加审计规则

了解 audit 审计规则
audit 审计规则分成三个部分：

控制规则：这些规则用于更改审计系统本身的配置和设置。
文件系统规则：这些是文件或目录监视。 使用这些规则，我们可以审核对特定文件或目录的任何类型的访问。
系统调用规则：这些规则用于监视由任何进程或特定用户进行的系统调用。
控制规则
控制规则可以在/etc/audit/audit.rules 中设置。主要包括:

-D #删除所有当前装载的审核规则#

-b 8192 #在内核中设定最大数量的已存在的审核缓冲区为 8Mb#

-e 2 #锁定审核配置#

文件系统规则
可以通过 auditctl 命令设置。监控文件系统行为（依靠文件、目录的权限属性来识别）

规则格式：

-w 路径

-p 权限

-k 关键字

其中-p 权限的动作分为四种

r — 读取文件或者目录。

w — 写入文件或者目录。

x — 运行文件或者目录。

a — 改变在文件或者目录中的属性。

常用监视指令示例：

auditctl -w /etc/passwd -p rwxa

-w path : 指定要监控的路径，上面的命令指定了监控的文件路径 /etc/passwd
-p : 指定触发审计的文件/目录的访问权限
-k 给当前这条监控规则起个名字，方便搜索过滤
rwxa ： 指定的触发条件，r 读取权限，w 写入权限，x 执行权限，a 属性（attr）

查看监视日志ausearch使用

ausearch -f /路径
ausearch -i -k key – key是添加规则时加的关键词

Audit log

type: audit消息类型， 消息类型有100多种，可以查看https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/6/html/security_guide/sec-audit_record_types
msg: 消息的ID， 它有两个部分组成， 分号之前的是Unix的时间戳，分号之后的是真正的event ID， 同一个应用程序的相同system call拥有相同的event ID， 同一个应用的不同system call则不同。
arch: 调用system call的CPU构架， 可以通过ausearch -i来指定搜索相关的log。
syscall： system call的类型， 可以查看Https://GitHub.com/torvalds/linux/blob/master/arch/sh/include/asm/unistd.h。
success： system call是成功或者失败。
exit： system call的返回值。
a0 to a3： 系统调用的前四个参数的数字化，可以通过ausearch解码查看。
items： 传递到应用程序的字符串数量。
ppid： 父进程的PID。
pid: 该进程的PID。
auid： audit ID， 针对某一用户一个进程会被分配一个audit ID， 该audit ID会被传递给子进程，尽管在系统中用户切换，该audit ID将始终保持一致。 这样我们可以针对对某一用户进行trace。
uid： user ID。
gid: group ID。
euid, suid, fsuid: Effective user ID, set user ID, and file system user ID.
egid, sgid, fsgid: Effective group ID, set group ID, and file system group ID.
tty: 应用程序开启的终端，这种情况下pseudo-terminal used in an ssh session.
ses： 用户登录的session ID.
comm: 出现在任务列表中，应用程序的名称。
exe： 二进制程序的解析路径。
subj: 进程执行时selinux上下文
key: 如果audit了很多的目录文件，分配一个key string方便后面我们通过ausearch去过滤这类log。
cwd: 进程的执行目录.
另一种audit log格式：
inode： 指出了与文件或目录相对应的inode number，可以通过下面的命令查看inode对应的文件或目录：find/ -inum -print.
dev： 指出文件或目录对应的device ID，在例子中，对应/dev/fd/0这个设备.
mode： 对应文件或目录的权限
ouid： 对应文件的owner’s user ID.
ogid： 对应文件的owner’s group ID

来源地址：https://blog.csdn.net/qq_39586877/article/details/130580625