linux日志审计audit linux查看审计记录

Linux内核有用日志记录事件的能力，比如记录系统调用和文件访问。然后，管理员可以评审这些日志，确定可能存在的安全裂口，比如失败的登录尝试，或者 用户对系统文件不成功的访问。这种功能称为Linux审计系统，在Red Hat Enterprise Linux 5中已经可用。 要使用Linux Auditing System，可采用下面的步骤： (1) 配置审计守护进程。 (2) 添加审计规则和观察器来收集所需的数据。 (3) 启动守护进程，它启用了内核中的Linux Auditing System并开始进行日志记录。 (4) 通过生成审计报表和搜索日志来周期性地分析数据。 配置审计守护进程 Red Hat Enterprise Linux 5内核中的Linux Auditing System默认是关闭的。当启动审计守护进程时，启用这个内核特性。要在启动时不通过守护进程auditd来启用Linux Auditing System，只需用audit= 1参数来引导。如果这个参数设置为1，而且auditd没有运行，则审计日志会被写到/var/log/messages中。 要使用auditd和实用程序来生成日志文件报表，必须安装audit RPM程序包。如果没有安装，则参见第3章“操作系统更新”了解关于程序包安装的指令。 用了auditd，管理员就可以定制产生的审计日志。下面只是一部分可用的自定义配置： ● 设置审计消息的专用日志文件 ● 确定是否循环使用日志文件 ● 如果日志文件的启动用掉了太多磁盘空间则发出警告 ● 配置审计规则记录更详细的信息 ● 激活文件和目录观察器 这些设置值及