Linux--审计工具Audit

标签：Audit audit -- auditd Linux 日志 ID 审计

一、简介

Linux 审计系统提供了一种方式来跟踪系统上与安全相关的信息，根据预配置的规则，审计会生成日志条目，来尽可能多地记录系统上所发生的事件的相关信息。对于关键任务环境而言至关重要，可用来确定安全策略的违反者及其所执行的操作，便于在发生网络入侵等安全事件时，能够为追踪溯源提供日志及时间节点的支撑。

在 Linux 服务器主机系统中常常使用 audit 相关工具来对账户管理、权限管理、文件系统管理、日志文件操作管理以及网络配置管理等资源的操作监控，并根据审计规则进行对应的日志记录，最后使用 syslog 服务进行将日志转发到企业的日志中心服务器上，以便于发生安全事件后溯源查询。

主要功能：

安全审计：audit 用于记录与安全相关的事件，包括用户身份验证、文件访问、系统调用等。
合规性：帮助组织满足各种合规性要求（如 PCI-DSS、HIPAA 等），确保系统活动的可追溯性。
问题追踪：能够追踪系统中的可疑活动，帮助系统管理员识别潜在的安全威胁。

主要组件：

auditd：审计守护进程，负责收集、记录和管理审计事件。
auditctl：命令行工具，用于配置和控制审计规则。
ausearch：用于搜索审计日志的工具，可以根据特定条件过滤和查找事件。
aureport：用于生成审计报告的工具，提供易于理解的输出格式。

二、各步骤简叙

2.1 安装

# Debian/Ubuntu
sudo apt-get install auditd

# CentOS/RHEL
sudo yum install audit -y

# Fedora
sudo dnf install audit

# SUSE
sudo zypper install audit

2.2 配置文件

在 /etc/audit/目录下主要有3个配置文件：

/etc/audit/auditd.conf：主要配置文件，定义了审计守护进程的行为和日志记录策略
/etc/audit/audit.rules：用于定义审计规则，通常在系统启动时加载；在某些系统中，这个文件可能会被 /etc/audit/rules.d/audit.rules 文件覆盖
/etc/audit/audit-stop.rules：在停止 auditd 守护进程时需要应用的审计规则，比如在服务停止时移除或禁用特定的审计规则，防止在下次启动时继续监控不再需要的事件；确保在停止审计守护进程时，相关的审计规则不会影响系统的正常运行。

/etc/audit/auditd.conf文件：

#
# This file controls the configuration of the audit daemon
#
# 是否记录本地事件，开启后，即使不手动编写审计规则，系统仍然会记录一些基本的事件
local_events = yes

# 是否将审计事件写入日志文件
write_logs = yes

# 审计日志文件的路径
log_file = /var/log/audit/audit.log

# 定义日志文件的组权限
log_group = root

# 指定审计日志的格式，默认 ENRICHED 将解析所有uid、gid、syscall、体系结构和套接字地址信息同时意味着需要更大的空间，更适合用于日常审计和调查活动。
# RAW 格式：只包含原始的系统调用信息，不包含额外的上下文信息，以减少日志文件大小和性能开销，更适合用于高性能环境。
log_format = RAW

# 定义日志刷新策略，none（日志不写到磁盘），incremental (日志写到磁盘)，incremental-async (日志异步写到磁盘)，data（保持部分数据和磁盘的一直同步），sync（每次记录都写到磁盘）
flush = INCREMENTAL_ASYNC

# 设置日志刷新的频率（以行数为单位）
freq = 50

# 设置单个审计日志文件的最大大小（单位为 MB）
max_log_file = 8

# 设置保留的旧日志文件数量
num_logs = 5

# 设置审计守护进程的优先级提升
priority_boost = 4

# 设置分发服务的服务质量（QoS），lossy 表示可以接受丢失一些日志
disp_qos = lossy

# 指定事件分发器程序的路径
dispatcher = /sbin/audispd

# 指定日志文件命名格式，NONE 表示不使用特定命名格式
name_format = NONE
# name = mydomain

# 定义日志文件达到最大大小后的操作，默认为轮询(ROTATE)，其他可选值 ignore、syslog、suspend and keep_logs
max_log_file_action = ROTATE

# 设置剩余空间低于该值时的警告阈值（单位：MB）
space_left = 75

# 定义当剩余空间低于 space_left 时的操作，默认值为 syslog ，其他有效值为 ignore, syslog, rotate, email, exec, suspend, single, and halt.
space_left_action = SYSLOG

# 是否验证电子邮件地址
verify_email = yes

# 指定接收审计警告邮件的账户
action_mail_acct = root

# 设置在磁盘剩余空间低于该值时的阈值（单位：MB）
admin_space_left = 50

# 定义当剩余空间低于 admin_space_left 时的操作，默认值为 suspend(暂停审计) ，其他有效值为 ignore, syslog, rotate, exec, suspend, single, and halt.
admin_space_left_action = SUSPEND

# 设置磁盘已满时的操作
disk_full_action = SUSPEND

# 设置磁盘错误时的操作
disk_error_action = SUSPEND

# 是否使用 TCP Wrapper 来控制访问
use_libwrap = yes
# tcp_listen_port = 60

# 设置 TCP 监听队列的最大连接数
tcp_listen_queue = 5

# 每个地址允许的最大连接数，默认值为 1，最大值为 1024
tcp_max_per_addr = 1

# 监听端口范围
# tcp_client_ports = 1024-65535

# 客户端最大空闲时间（单位：秒），0 表示没有限制
tcp_client_max_idle = 0

# 是否启用 Kerberos 5 认证
enable_krb5 = no

# 指定 Kerberos 主体名称
krb5_principal = auditd
# krb5_key_file = /etc/audit/audit.key

# 是否启用网络分发审计事件
distribute_network = no

2.3 启动

# systemctl管理
systemctl start auditd

# 绝对路径启动
/usr/sbin/auditd

# 容器里启动，由于audit涉及到内核，需要以privilege权限启动才能正常使用
docker run --privileged -it your_image_name bash

2.4 auditctl

auditctl 是用于管理 Linux 审计系统 (auditd) 的命令行工具，允许用户添加、删除和查看审计规则。

添加规则

auditctl -w /path/to/file -p rwxa -k key_name

-p

r：读取
w：写入
x：执行
a：属性修改

-k：为规则指定一个关键字，便于后续搜索日志。

为了在系统重启后自动加载规则，可以将规则添加到 /etc/audit/rules.d/ 目录下的文件中。

echo "-w /etc/passwd -p wa -k passwd_changes" >> /etc/audit/rules.d/audit.rules

使用 auditctl -s 可以查看当前审计系统的状态信息

enabled 1                         # 指示审计系统是否启用：1 启用，0 禁用
failure 1                         # 指示当审计记录失败时的处理方式：1 记录失败信息，0 忽略失败
pid 1527                          # 前审计守护进程 (auditd) 的进程 ID
rate_limit 0                      # 设置审计事件的速率限制，用于防止过多事件导致的日志膨胀，后面的值表示每秒允许的最大事件数，0 不限制
rate_limit_action 1               # 当达到速率限制时的处理方式：1 记录到日志，0 忽略
backlog_limit 8192                # 审计事件的最大积压数量，值：表示可以在内存中等待处理的最大事件数
lost 0                            # 表示由于速率限制或其他原因而丢失的事件数量
backlog 0                         # 当前积压的事件数量
loginuid_immutable 0 unlocked     # 指示 login UID 的可变性：1 不可变，0 可变

2.5 日志

auditd 生成的审计日志记录了系统中的各种安全事件，通常存储在 /var/log/audit/audit.log 中

日志类型

auditd 主要记录以下几种类型的日志：

用户活动日志：记录用户登录、登出、执行命令等活动。
文件访问日志：监控对特定文件或目录的读取、写入和执行操作。
系统调用日志：记录特定系统调用的执行情况，例如 open、read、write 等。
权限变更日志：记录对系统权限和配置的修改，如用户添加、删除或权限更改。
安全事件日志：记录与安全相关的事件，如 SELinux 相关的操作和其他安全策略的执行。

日志格式

审计日志的格式通常为文本格式，每条日志记录包含多个字段，如

type=SYSCALL msg=audit(1633044800.123:123): arch=c000003e syscall=2 success=yes exit=3 a0=0x7fffa3f4d720 a1=0x0 a2=0x0 a3=0x0 items=1 ppid=1234 pid=5678 auid=1000 uid=1000 gid=1000 euid=1000 suid=1000 fsuid=1000 egid=1000 sgid=1000 fsgid=1000 tty=pts0 ses=1 comm="cat" exe="/usr/bin/cat" key="file_access"

主要字段解释：

type：事件类型，如 SYSCALL、USER_LOGIN 等。
msg：包含时间戳和事件 ID，格式为 audit(timestamp:ID)。
arch：系统架构（例如 c000003e 表示 x86_64）。
syscall：系统调用编号，表示执行的系统调用。
success：表示系统调用是否成功（yes 或 no）。
exit：系统调用的退出状态。
a0, a1, a2, a3：系统调用的参数。
items：相关项的数量。
ppid：父进程 ID。
pid：进程 ID。
auid：审计用户 ID，表示启动进程的用户。
uid：用户 ID。
gid：组 ID。
euid、suid、fsuid：有效用户 ID、设置用户 ID 和文件系统用户 ID。
egid、sgid、fsgid：有效组 ID、设置组 ID 和文件系统组 ID。
tty：终端类型。
ses：会话 ID。
comm：执行的命令。
exe：命令的完整路径。
key：与该事件关联的关键字，便于后续检索。

2.6 ausearch

ausearch 是 auditd 审计系统中用于查询和过滤审计日志的命令行工具。它允许用户根据多种条件检索特定的审计事件，帮助系统管理员分析和审计系统活动。

常用参数：

参数	描述	示例
-k	根据关键字搜索	ausearch -k file_access
-c	根据命令名过滤	ausearch -c passwd
-ts	指定开始时间	ausearch -ts today,ausearch -ts "18:00:00"
-te	指定结束时间	ausearch -te now
-ua	根据审计用户 ID 过滤	ausearch -ua 1000
-p	根据进程 ID 过滤	ausearch -p 1234
-m	根据事件类型过滤	ausearch -m USER_LOGIN
-f	根据文件路径过滤	ausearch -f /etc/passwd
-i	以可读格式显示输出，转换事件代码为文本	ausearch -i

2.7 aureport

aureport 是 auditd 审计系统中的一个工具，用于生成审计报告，提供系统活动的汇总和统计信息。它可以帮助系统管理员快速了解审计日志中的重要信息。

常用参数

参数	描述	示例
--users	生成用户活动的汇总报告	aureport --users
--comm	生成命令执行的汇总报告	aureport --comm
--syscall	生成系统调用的汇总报告	aureport --syscall
--file	生成文件访问的汇总报告	aureport --file
--start,--end	指定时间范围	aureport --users --start today --end now
--html	生成 HTML 格式的报告	aureport --users --html > user_report.html
--csv	生成 CSV 格式的报告	aureport --comm --csv > command_report.csv

示例

运行 aureport --users

================================================================================
# date            login      logout     tty         pid    exec
================================================================================
2023-09-29 12:00:00  user1     12:30:00   pts/0      1234  bash
2023-09-29 12:05:00  user2     12:35:00   pts/1      5678  ssh

运行 aureport --comm

================================================================================
# command             count
================================================================================
ssh                   50
bash                  30
passwd                10

标签：Audit,audit,--,auditd,Linux,日志,ID,审计
From： https://www.cnblogs.com/Xinenhui/p/18439195