2024年11月27日 Linux auditctl命令 极客笔记
Linux auditctl命令:控制内核的审计系统。
使用auditctl命令可以对内核中的审计系统进行控制,可以用来获取audit状态和添加/删除audit规则。
auditctl [选项]
命令中各选项的含义如表所示。
在使用-a选项时可以使用的列表名称如表所示。
在使用-a选项时可以使用的动作如表所示。
在使用-F选项时可以使用的有效的字段名如表所示。
查看audit运行状态
[root@rhel ~]# auditctl -s
AUDIT_STATUS: enabled=1 flag=0 pid=2695 rate_limit=0 backlog_limit=320 lost=0 backlog=0
//auditd进程的运行状态是正常的
查看现有的audit规则
[root@rhel ~]# auditctl -l
No rules
添加一条audit规则,记录用户zhangsan(UID为500)的所有open系统调用
[root@rhel ~]# auditctl -a entry, always -S open -F uid=500
Warning - entry rules deprecated, changing to exit rule]
WARNING -32/64 bit syscall mismatch, you should specify an arch
[root@rhel ~]# auditctl -l
LIST_RULES: exit, always uid=500 (0x1f4) syscall=open
删除audit规则
[root@rhel ~]# auditctl -d entry, always -S open -F uid=500
Warning - entry rules deprecated, changing to exit rule
添加一条规则,不记录用户登录类型的消息
[root@rhel ~]# auditctl -a exclude, always -F msgtype=USER_LOGIN
添加一条audit规则,监视/etc/passwd文件被读、写、执行、修改文件属性的操作记录
[root@rhel ~]# auditctl -w /etc/passwd -p rwax
添加一条audit规则,记录指定用户打开的文件
[root@rhel ~]# auditctl -a exit, always -S open -F auid=510
添加一条audit规则,记录不成功的open系统调用
[root@rhel ~]# auditctl -a exit, always -S open -F success! =0
添加一条audit规则,记录进程PID为1005程序所做的所有系统调用
[root@rhel ~]# auditctl -a exit, always -S all -F pid=1005
删除所有的audit规则
[root@rhel ~]# auditctl -D
本文链接:http://so.lmcjl.com/news/18609/