linux日志审计2

http://www.cnblogs.com/ahuo/archive/2012/08/24/2653905.html

http://people.redhat.com/sgrubb/audit/

(1)audit

sudo apt-get install auditd

syslog会记录系统状态(硬件警告、软件的log), 但syslog属于应用层, log归咎与软件, 并不会记录所有动作. 于是audit来记录更多信息。

(2)

inotify.

inotify 是文件系统事件监控机制,是细粒度的、异步的机制

很多人利用inotify和rsync实现实时同步文件,而基于inotify API和rsync command的sersync解决了这个问题。  
http://code.google.com/p/sersync/

linux日志审计2,布布扣,bubuko.com

时间: 2024-12-28 11:58:57

linux日志审计2的相关文章

linux日志审计项目案例实战(生产环境日志审计项目解决方案)

所谓日志审计,就是记录所有系统及相关用户行为的信息,并且可以自动分析.处理.展示(包括文本或者录像) 推荐方法:sudo配合syslog服务,进行日志审计(信息较少,效果不错) 1.安装sudo命令.syslog服务(centos6.4或以上为rsyslog服务) [[email protected]_back ~]#rpm -qa "sudo|syslog"   查询系统是否已安装sudo.syslog程序 rsyslog-5.8.10-8.el6.x86_64 sudo-1.8.6

Linux 6.8 sudo 日志审计

公司内Linux服务器启用了SUDO权限管理,但还是有一定的风险,所以为了便于管理和后续维护,开启sudo日志审计的功能,对用户执行的sudo命令的操作行为进行记录,但又不记录其他的命令. 一.rsyslog 全部操作日志审计,信息量大,不方便以后查阅,我们选择只对sudo进行日志审计. 二.使用rpm -qa 查询是否安装服务,若没有就使用yum install XXXX -y 安装服务 [[email protected] ~]# rpm -qa |grep sudo sudo-1.8.6p

Linux简单的日志审计

生产环境日志审计解决方案 所谓的日志审计,就是记录所有系统及相关的用户行为,并且可以自动分析.处理.展示(包括文本或者录像) 1)     :通过环境变量以及rsyslog服务进行全部日志审计(信息太大,不推荐) 2)     sudo配置rsyslog服务,进行日志审计(信息较少,效果不错) 3)     在bash解释器中嵌入一个监视器,让所有被审计的系统用户使用修改过的增加监视器的特殊bash程序作为解释程序. 4)     齐治的堡垒机:商业产品 在此文档中,我们学习第二种方法:sudo

linux权限集中管理和行为日志审计

useradd     -g -u -c  -s   -d -G  -M  -D改变默认属性 userdel   -r usermod groupadd groupdel passwd   --stdin chage   修改密码过期属性的           -l   -E su    -   -c 执行完退回来 sudo     普通用户可以拥有root的权限 visudo newgrp id w  who  last  lastlog  whoami    finger 服务器用户权限管理

日志审计策略配置audit

日志审计策略配置 1.   系统缺省已经开启syslog/rsyslog服务,禁止关闭.系统syslog/rsyslog服务会将所有系统日志自动记录到/var/log/messages文件中,系统日志永久保留. 2.   开启audit审计功能,可以监控指定用户或目录,缺省会监控root的所有登录和操作. l  添加规则到 /etc/audit/audit.rules(RHEL7为/etc/audit/rules.d/audit.rules) 文件中,实现监控所有用户的登录行为,包含用户所有操作

(转)企业配置sudo命令用户行为日志审计

原文:https://www.cnblogs.com/Csir/p/6403830.html?utm_source=itdadao&utm_medium=referral 第15章 企业配置sudo命令用户行为日志审计 15.1 生产环境企业日志审计解决方案: 所谓日志审计,就是记录所有系统及相关用户行为的信息,并且可以自动分析.处理.展示(包括文本或录像) 下面是各种解决方案 l 通过环境变量命令及rsyslog服务进行所有用户的所有操作的全部日志审计(信息太大,不推荐) l sudo配合rs

MySQL日志审计 帮你揪出内个干坏事儿的小子

MySQL日志审计 帮你揪出内个干坏事的小子 简介 Part1:写在最前 MySQL本身并不像MariaDB和Percona一样提供审计功能,但如果我们想对数据库进行审计,去看是谁把我的数据库数据给删了,该怎么办呢?我们主要利用init-connect参数,让每个登录的用户都记录到我们的数据库中,并抓取其connection_id(),再根据binlog就能够找出谁干了那些破事儿. MariaDB如何审计,可移步: http://suifu.blog.51cto.com/9167728/1857

Linux 日志异常tpvmlpd[4966]: device type not supported

1. 虚拟机vmware下linux message日志异常信息如下: ...... Nov 25 19:33:17 rac1 tpvmlpd[4415]: device type not supportedNov 25 19:33:32 rac1 tpvmlpd[4521]: device type not supportedNov 25 19:33:47 rac1 tpvmlpd[4681]: device type not supportedNov 25 19:34:02 rac1 tpv

linux日志文件

linux日志文件 在系统运行正常的情况下学习了解这些不同的日志文件有助于你在遇到紧急情况时从容找出问题并加以解决. /var/log/messages — 包括整体系统信息,其中也包含系统启动期间的日志.此外,mail,cron,daemon,kern和auth等内容也记录在var/log/messages日志中. /var/log/dmesg — 包含内核缓冲信息(kernel ring buffer).在系统启动时,会在屏幕上显示许多与硬件有关的信息.可以用dmesg查看它们. /var/