auditd-Linux操作系统审计工具简介

1. auditd概述

auditd是Linux审计系统的用户空间组件，负责将审计记录写入磁盘。它可以帮助运维人员审计Linux系统，分析发生在系统中的事件。Linux内核具有记录事件的能力，包括系统调用和文件访问，auditd则负责将这些日志记录下来，以供管理员检查是否存在安全漏洞。

2. 安装auditd

在CentOS 7系统中，auditd默认已经安装。可以通过service auditd status命令查看该服务是否开启。

3. auditd配置文件

auditd的配置文件位于/etc/audit路径下，主要包括：

• auditd.conf：审计工具的配置文件。
• audit.rules：审计的规则文件，由/etc/audit/rules.d产生。
• audit-stop.rules：审计停止规则，定义了停止检测。
• rules.d目录：定义需要审计的规则，写到文件后会永久有效。

4. auditd相关命令

• auditctl：auditd默认操作命令，用于即时控制审计守护进程的行为，如添加规则等。
• aureport：生成和查看审计规则的文件。
• ausearch：搜索各种事件的工具，例如ausearch -k login -u username将会搜索用户的登录事件。
• autrace：用于跟踪进程的命令，类似于strace，跟踪某一个进程，并将跟踪的结果写入日志文件之中。

5. auditd使用举例

• 查看当前审计规则：auditctl -l。
• 配置一条审计规则：echo "-w /etc/hosts -p wa -k hosts_change" >> /etc/audit/rules.d/audit.rules。
• 重载配置：auditctl -R /etc/audit/rules.d/audit.rules。

6. ausearch使用

ausearch是一个强大的工具，可以根据不同搜索条件查询事件的审计守护程序日志。例如，使用-f参数可以根据文件名搜索，-c根据命令行名称搜索，-ui根据用户id搜索，-p根据进程id搜索，-k根据key字段搜索。

7. auditd的作用

auditd在Linux系统中的作用主要体现在跟踪和记录系统中的事件，帮助管理员确定是否存在安全漏洞，如多次失败的登录尝试或用户对系统文件不成功的访问。

通过上述信息，您可以学习和掌握如何使用auditd工具来审计Linux系统。希望这些信息对您有所帮助。
在Ubuntu系统下，使用auditd工具查看某个用户的登录信息，你需要按照以下步骤操作：

1. 确保auditd服务已安装并运行

首先，你需要确认auditd服务是否已经安装并正在运行。你可以通过以下命令来检查：

sudo systemctl status auditd

如果服务没有运行，你可以使用以下命令启动它：

sudo systemctl start auditd

2. 配置审计规则

为了让auditd记录用户的登录信息，你需要配置相应的审计规则。Ubuntu系统默认可能已经配置了一些基本的登录审计规则，但你可以根据需要添加或修改规则。使用auditctl命令来添加规则：

sudo auditctl -w /var/log/auth.log -p wa -k user_login

这条命令会监视/var/log/auth.log文件的写入和属性更改操作，并标记为user_login。

3. 使用ausearch搜索登录事件

一旦配置了审计规则，你就可以使用ausearch命令来搜索特定用户的登录事件。例如，如果你想搜索用户名为username的登录事件，可以使用以下命令：

sudo ausearch -k user_login -u username

这个命令会搜索所有标记为user_login的事件，并且涉及到username这个用户的记录。

4. 查看审计日志

如果你想要查看所有的审计日志，可以直接查看/var/log/audit/audit.log文件：

sudo cat /var/log/audit/audit.log

或者使用ausearch命令来过滤特定的日志：

sudo ausearch -k user_login

5. 分析结果

ausearch命令的输出将包含有关登录事件的详细信息，包括时间、用户、登录结果等。你需要根据这些信息来分析用户的登录行为。

注意事项

• 确保你有足够的权限来执行这些命令，通常需要sudo权限。
• 审计日志可能会非常大，使用ausearch可以更有效地过滤和搜索你需要的信息。
• 审计规则的配置和日志的分析需要一定的安全知识和经验，确保你理解每条规则的含义和潜在的影响。

auditd工具会对电脑的运行能力造成负载过大，比如占用CPU和内存：

1. CPU消耗：auditd会持续监测系统上的各种活动并生成审计日志，这会消耗一定的CPU资源。如果系统负载较高或者审计规则配置不当，可能会导致CPU占用率增加，影响系统性能。

2. 内存消耗：auditd需要维护审计规则和审计日志等数据结构，这会消耗一定的内存资源。如果审计日志量较大，可能会占用较多内存，影响系统的正常运行。

3. 性能影响：开启auditd服务后对性能影响比较明显。如果配置了详细的审计规则，如pci-dss规则，性能影响可能更大。

4. 磁盘IO：auditd生成的审计日志会写入磁盘，如果审计日志量较大，会增加磁盘IO的负担，影响系统的IO性能。

5. 解决方案：为了减少auditd对系统性能的影响，可以采取以下措施：

   • 合理配置审计规则：根据实际情况设置审计规则，避免不必要的审计日志产生。
   • 定期清理审计日志：定期清理审计日志，避免过多的审计日志占用磁盘空间。
   • 调整审计日志级别：根据实际需要，调整审计日志的级别，减少不必要的详细日志记录。
   • 确保系统性能足够：确保系统资源足够，包括CPU、内存、磁盘和网络等，以满足auditd的运行需求。

这只是个人学习笔记，具体操作请登录官网查看。