在Ubuntu系统中设置日志审计,可以遵循以下步骤:
首先,确保你的系统已经安装了auditd和auditctl。这些工具用于配置和管理日志审计。
sudo apt update
sudo apt install auditd audispd-plugins
auditd编辑/etc/audit/auditd.conf文件来配置审计守护进程。
sudo nano /etc/audit/auditd.conf
在文件中,你可以设置日志文件的位置、大小限制等。例如:
log_format = RAW
log_target = SYSLOG
name_format = none
flush = INTERVAL
freq = 30
max_log_file = 50
num_logs = 5
使用auditctl命令添加审计规则。你可以根据需要添加不同的规则来监控特定的文件、目录或系统调用。
sudo auditctl -w /path/to/file_or_directory -p wa -k my_audit_key
-w:指定要监控的文件或目录。-p:指定权限(如w表示写,a表示追加)。-k:指定一个关键字,方便后续查询。sudo auditctl -a exit,always -F arch=b64 -S open -S openat -S creat -S mkdir -S rmdir -S unlink -S unlinkat -k my_audit_key
-a:指定动作(如exit表示在系统调用退出时触发)。-F:指定过滤条件(如arch=b64表示64位架构)。-S:指定系统调用。auditd服务确保auditd服务正在运行,并设置为开机自启动。
sudo systemctl start auditd
sudo systemctl enable auditd
审计日志通常存储在/var/log/audit/audit.log文件中。你可以使用ausearch和aureport工具来查询和分析日志。
sudo ausearch -k my_audit_key
sudo aureport -k my_audit_key
为了避免日志文件过大,可以定期清理旧的日志文件。
sudo journalctl --rotate
或者手动删除旧的日志文件:
sudo rm /var/log/audit/audit.log.*
你可以设置监控和警报系统,以便在检测到异常活动时及时通知管理员。例如,可以使用fail2ban来阻止恶意IP地址。
通过以上步骤,你可以在Ubuntu系统中设置一个基本的日志审计系统,并根据需要进行扩展和自定义。
