Linux Audit log

Background:
linux操作系统 如果发现一个进程不明被杀掉 而且也不知道被哪一个进程杀掉的,如果我们不知道 可以通过

Configuration:

1). root登录并打开audit.rules文件,位于/etc/audit/文件夹下。 
添加以下内容:
-a always,exit -F arch=b64 -S kill -k *wg934*

Note: 如果坏境是32位请 改为 -F arch=b32
*wg934* 只是后面的标记, 方面查看用的 没特别意思

2). 重启aduitd 服务
service auditd restart

3). 查看一个进程的进程号并记录下来, 当下次这个进程被杀掉后打开linux audit 日志查看在文件夹/var/log/audit下。

Test and Result:

1). sleep 一个长时间进程 22303 之后kill掉

[[email protected] audit]# 
[[email protected] audit]# sleep 9999999& 
[1] 22303
[[email protected] audit]# kill -9 22303
[1]+ Killed sleep 9999999
[[email protected] audit]#

linux里面可以看到: opid = objective pid 被杀的目标PID
?其中syscall=62 为什么是kill 还没弄清楚

type=SYSCALL msg=audit(1420632793.383:1410163): arch=c000003e syscall=62 success=yes exit=0 a0=571f a1=9 a2=0 a3=0 items=0 ppid=23986 pid=24009 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts4 ses=77492 comm="bash" exe="/bin/bash" key="*wg934*"

type=OBJ_PID msg=audit(1420632793.383:1410163): opid=22303 oauid=0 ouid=0 oses=77492 obj=<NULL> ocomm="sleep"

使用脚本去kill 一个进程同样会被记录下来:

[email protected] audit]# sleep 999999 &
[1] 714
[[email protected] audit]# python 1.py &
[2] 1390
[[email protected] audit]# vim audit.log 
[1]- Killed sleep 999999

1.py

import os
import time
pid=‘714‘
command=‘kill -9‘ + pid
os.popen(command)
time.sleep(100000000)

type=SYSCALL msg=audit(1420635463.926:1419473): arch=c000003e syscall=62 success=yes exit=0 a0=2ca a1=9 a2=0 a3=0 items=0 ppid=1390 pid=1391 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts4 ses=77492 comm="sh" exe="/bin/bash" key="*wg934*"
type=OBJ_PID msg=audit(1420635463.926:1419473): opid=714 oauid=0 ouid=0 oses=77492 obj=<NULL> ocomm="sleep"

时间: 2024-07-29 19:25:10

Linux Audit log的相关文章

Linux audit log分析工具---aureport、ausearch、autrace

一.概述 上一篇(理解Linux Audit Service.)我们主要解析了audit服务的结构,audit服务的配置以及如何阅读audit log各项所代表的意思.这一篇我们主要介绍如何利用audit提供的三个工具aureport.ausearch.autrace有针对性地去统计分析以及跟踪log日志. 二.aureport RAW类型的audit log会存放在/var/log/audit目录下,这些log体量大而且比较难懂,用aureport可以轻易的统计量化日志报告: aureport

linux中log文件夹各个log文件内容

/var/log/messages - 包括整体系统信息,其中也包含系统启动期间的日志.此外,mail,cron,daemon,kern和auth等内容也记录在var/log/messages日志中. /var/log/dmesg - 包含内核缓冲信息(kernel ring buffer).在系统启动时,会在屏幕上显示许多与硬件有关的信息.可以用dmesg查看它们. /var/log/auth.log - 包含系统授权信息,包括用户登录和使用的权限机制等. /var/log/boot.log

Linux system log avahi-daemon[3640]: Invalid query packet.

2014-06-11 Check the Linux system log find the errorr: Jun  9 11:18:49 hostname avahi-daemon[3640]: Invalid query packet. Jun  9 11:19:29 hostnam  elast message repeated 7 times Jun  9 11:22:06 hostnam  eavahi-daemon[3640]: Invalid query packet. Jun

Nagios监控LINUX /var/log/message脚本

写的不好轻喷 #! /bin/sh STATE_OK=0 STATE_WARNING=1 STATE_CRITICAL=2 STATE_UNKNOWN=3 currdate=`date | awk '{print $2,"*",$3}'` if [ `/usr/bin/sudo tail -20 /var/log/messages | grep "$currdate" | grep -i -E 'error|fail|offline|suspending' | gr

linux audit审计(4)--audit的日志切分,以及与rsyslog的切分协同使用

audit的规则配置稍微不当,就会短时间内产生大量日志,所以这个规则配置一定要当心.当audit日志写满后,可以看到如下场景: -r-------- 1 root root 8388609 Mar 31 11:47 audit.log.997 -r-------- 1 root root 8388780 Mar 31 11:47 audit.log.998 -r-------- 1 root root 8388621 Mar 31 11:47 audit.log.999 然后在messages日

fluentd 推送 mariadb audit log

说明: mariadb audit log是 mariadb 的审计日志 目的是把日志拆分成 tab 键分隔的字段 直接附上 fluentd 配置文件 <system> log_level error </system> <source> @type tail path /data/logs/mariadb/server_audit.log tag mysql_audit pos_file /data/logs/mariadb/fluentd.pos <parse

Percona Audit Log Plugin(mysql 审计)

背景:当数据业务上或者其他的特殊情况时可能会进行审计,以便知道数据库当时所做的操作,今天给大家带来percona的审计插件 Percona Audit Log Plugin提供对特定服务器上执行的连接和查询活动的监视和记录. 有关活动的信息将存储在XML日志文件中,其中每个事件将具有其NAME字段,其自己的唯一RECORD_ID字段和TIMESTAMP字段. 此实现是MySQL Enterprise Audit Log Plugin的替代审计日志插件生成以下事件的日志:Audit - Audit

Linux system log avahi-daemon[3733]: Invalid query packet

在检查Linux的日志文件时,发现大量 avahi-daemon[3733]: Invalid query packet错误(不同服务器对应的数字有所不同) Aug  3 07:00:01 hostname auditd[3143]: Audit daemon rotating log files Aug  3 08:02:39 hostname avahi-daemon[3733]: Invalid query packet. Aug  3 08:03:19 hostname last mes

linux audit审计(5)--audit规则配置

audit可以配置规则,这个规则主要是给内核模块下发的,内核audit模块会按照这个规则获取审计信息,发送给auditd来记录日志. 规则类型可分为: 1.控制规则:控制audit系统的规则: 2.文件系统规则:也可以认为是文件监控,可以监控一个特定文件或者一个路径. 3.系统调用规则:可以记录特定程序的系统调用. audit规则可以通过auditctl,在命令行里输入,这些设置的规则为临时的,当系统重启后就不存在了.可以通过配置/etc/audit/audit.rules文件,当每次audit