linux審計日誌

A. linux審計日誌可以存多久

Linux的日誌文件根據需要，你可以一直保存都可以。
這取決於你的硬碟大小和是否設置定期清除一定日期之前的日誌文件。

B. Linux系統上記錄MYsql操作的審計日誌

    根據筆者上一篇文章—Linux系統上記錄用戶操作的審計日誌 。本文來利用相同的方法記錄MYSQL操作的審計日誌。

    使用用mysql工具連接MySQL server的所有操作會默認記錄到~/.mysql_history文件中，這個文件會把所有操作記錄下來，包括創建用戶和修改用戶的明文密碼，這在生產系統上是不安全的。如果不想保存，僅僅刪除是不行的（文件不存在會再建立），要直接將其軟連接到垃圾箱。

     ln  -s  /dev/null  ~/.mysql_history

    利用上一篇文章相同的方法記錄MYSQL操作的審計日誌，是因為mysql工具本身就是有一個shell, 每次mysql連接退出後，都會把此次操作的信息記錄到~/.mysql_history文件中。那麼可以重新定義MYSQL_HISTFILE環境變數來保存mysql日誌。

    先看置於/etc/profile.d目錄下的環境變數的腳本mysql_history.sh，和loginlog類似。

      在測試時，發現平時使用的普通用戶在操作mysql後無法記錄，而root用戶（平時沒有操作過mysql）可以記錄成功。後來在在~/.mysql_history文件找到了操作記錄，估計是這個文件還存在的原因，刪除後才記錄到新的MYSQL_HISTFILE定義的路徑。

      和loginlog一樣，需要定期刪除過期日誌，以下腳本置於/etc/cron.weekly 目錄下。

        delete_time=15

        find /opt/mysqllog/  -mtime +$delete_time -name '*.log' -exec rm -r {} \;

      但是相比於loginlog，mysqllog有兩點暫時沒有解決。

    1、定義最大的記錄條數history.maxSize不知在哪定義，my.cnf?

    2、每一條命令的時間記錄添加。

C. Linux的audit.log日誌審計怎麼斷定被黑客入侵了

這里首先介紹auditctl的應用，具體使用指南查看man auditctl。auditctl的man 描述說明這個工具主要是用來控制audit系統行為，獲取audit系統狀態，添加或者刪除audit系統的規則。控制audit系統行為和獲取audit系統狀態參數：
-s 或者auditd 狀態 auditctl -s 顯示：AUDIT_STATUS: enabled=1 flag=1 pid=2792 rate_limit=0 backlog_limit=320 lost=0 backlog=0

D. linux伺服器安全審計怎麼弄

材料：

Linux審計系統auditd 套件

步驟：

1. 安裝 auditd

   REL/centos默認已經安裝了此套件，如果你使用ubuntu server，則要手工安裝它：

   sudo apt-get install auditd

   它包括以下內容：

   auditctl :即時控制審計守護進程的行為的工具，比如如添加規則等等。

   /etc/audit/audit.rules :記錄審計規則的文件。

   aureport :查看和生成審計報告的工具。

   ausearch :查找審計事件的工具

   auditspd :轉發事件通知給其他應用程序，而不是寫入到審計日誌文件中。

   autrace :一個用於跟蹤進程的命令。

   /etc/audit/auditd.conf :auditd工具的配置文件。

2. Audit 文件和目錄訪問審計

   首次安裝auditd後, 審計規則是空的。可以用sudo auditctl -l 查看規則。文件審計用於保護敏感的文件，如保存系統用戶名密碼的passwd文件，文件訪問審計方法：

   sudo auditctl -w /etc/passwd -p rwxa

-w path :指定要監控的路徑，上面的命令指定了監控的文件路徑 /etc/passwd

-p :指定觸發審計的文件/目錄的訪問許可權

rwxa ：指定的觸發條件，r 讀取許可權，w 寫入許可權，x 執行許可權，a 屬性（attr）

目錄進行審計和文件審計相似，方法如下：

$ sudo auditctl -w /proction/

以上命令對/proction目錄進行保護。

3.查看審計日誌

添加規則後，我們可以查看 auditd 的日誌。使用ausearch工具可以查看auditd日誌。

sudo ausearch -f /etc/passwd

-f設定ausearch 調出 /etc/passwd文件的審計內容

4. 查看審計報告

以上命令返回log如下：

time->Mon Dec 22 09:39:16 2016

type=PATH msg=audit(1419215956.471:194): item=0name="/etc/passwd"

inode=142512 dev=08:01 mode=0100644 ouid=0 ogid=0 rdev=00:00 nametype=NORMAL

type=CWD msg=audit(1419215956.471:194):cwd="/home/somebody"

type=SYSCALL msg=audit(1419215956.471:194): arch=40000003syscall=5

success=yes exit=3 a0=b779694b a1=80000 a2=1b6 a3=b8776aa8 items=1 ppid=2090 pid=2231auid=4294967295 uid=1000 gid=1000euid=0 suid=0 fsuid=0 egid=1000 sgid=1000 fsgid=1000 tty=pts0 ses=4294967295

comm="sudo" exe="/usr/bin/sudo"key=(null)

• time :審計時間。

• name :審計對象

• cwd :當前路徑

• syscall :相關的系統調用

• auid :審計用戶ID

• uid 和 gid :訪問文件的用戶ID和用戶組ID

• comm :用戶訪問文件的命令

• exe :上面命令的可執行文件路徑

以上審計日誌顯示文件未被改動。

E. Linux伺服器主機操作系統是否開啟日誌審計策略:

內核編譯時,一般打開NET選項就打開AUDIT選項了。 在系統中查看audit是否打開,root 用戶執行: service auditd status

F. linux操作系統怎麼開啟日誌審計功能

對於Linux操作審計，當前主要有兩種形式。
一種是，通過收取linux操作系統上的日誌，來進行審計。優點是全面，內容是零散，缺乏直觀性，一般需要專業的軟體來收集和呈現，同時由於容易被刪除，可能導致關鍵審計信息缺失問題，以及由於共享賬號問題，導致無法定位到人。
另一種是，通過碉堡堡壘機軟體來實現審計。優點是全面直觀，可以關聯到人，確定是只能對遠程運維操作進行審計，無法對直接登錄操作進行審計。