一、日志审计系统会提供传送日志的程序,让厂商提供然后安装程序
二、系统自带的程序(Linux)
1、rsyslog 是标准Linux系统的一部分,能够实时的写日志,并且还可以将日志选择性的发送到远程日志服务器。
http://www.361way.com/rsyslog-config/6250.html
https://blog.51cto.com/purplegrape/1544117
2、auditd
Linux 内核有用日志记录事件的能力,包括记录系统调用和文件访问。管理员可以检查这些日志,确定是否存在安全漏洞(如多次失败的登录尝试,或者用户对系统文件不成功的访问)。
Linux 用户空间审计系统由 auditd、audispd、auditctl、autrace、ausearch 和 aureport 等应用程序组成。
auditd是Linux审计系统中用户空间的一个组件,负责将审计记录写到磁盘中。在CentOS7上默认就会有安装这个服务。如果被卸载,可以直接使用yum进行安装:
yum -y install audit auditd-libs
参考:
https://www.cnblogs.com/bldly1989/p/7204358.html
https://www.codercto.com/a/76534.html
https://baijiahao.baidu.com/s?id=1613468488525635988&wfr=spider&for=pc
https://www.cnblogs.com/hel7512/p/12350223.html
3、audit和syslog日志系统的关系
audit 主要用来记录安全信息,用于对系统安全事件的追溯,而 syslog 用来记录系统信息,如硬件警报和软件日志等。syslog 属于应用层,没办法记录太多信息,audit 用来记录内核信息,包括文件的读写,权限的改变等。
三、其他程序(windows系统)
Windows操作系统本身是可以产生很多日志的,如每次插拔U盘、服务的重启等,都会产生日志,这些信息会记录在操作系统中,但Windows不像交换机、Linux那样自带syslog,而Windows系统自身的日志又不支持转发,所以要想收集Windows日志,必须安装Agent。用其将Windows的系统日志、安全日志、应用日志等转换为syslog然后转发给我们的服务器端。
常见的Windows日志转SYSLOG工具 : evtsys,Snare
http://www.weste.net/2015/03-06/101981.html
https://wenku.baidu.com/view/1abe559f6bec0975f565e202.html
https://blog.51cto.com/7603402/2175080