linux系统使用审计audit查看系统安全情况。

本文主要是介绍linux系统使用审计audit查看系统安全情况。，对大家解决编程问题具有一定的参考价值，需要的程序猿们随着小编来一起学习吧！

https://blog.csdn.net/weixin_42680139/article/details/116578775?spm=1001.2101.3001.6661.1&utm_medium=distribute.pc_relevant_t0.none-task-blog-2%7Edefault%7ECTRLIST%7Edefault-1-116578775-blog-113629205.pc_relevant_multi_platform_whitelistv2&depth_1-utm_source=distribute.pc_relevant_t0.none-task-blog-2%7Edefault%7ECTRLIST%7Edefault-1-116578775-blog-113629205.pc_relevant_multi_platform_whitelistv2&utm_relevant_index=1

查看审计报告

一旦定义审计规则后，它会自动运行。过一段时间后，我们可以看看auditd是如何帮我们跟踪审计的。

Auditd提供了另一个工具叫 aureport 。从名字上可以猜到， aureport 是使用系统审计日志生成简要报告的工具。

我们已经配置auditd去跟踪/etc/passwd文件。auditd参数设置后一段时间后，audit.log 文件就创建出来了。

生成审计报告，我们可以使用aureport工具。不带参数运行的话，可以生成审计活动的概述。

$ sudo aureport

如上，报告包含了大多数重要区域的信息。

上图可以看出有 3 次授权失败。 使用aureport，我们可以深入查看这些信息。

1、

看所有账户修改相关的事件，可以使用-m参数。

$ sudo aureport -m

2、

使用以下命令查看授权失败的详细信息：

$ sudo aureport -au

从上图可以看出，由两个用户在特定的时间授权失败。

这篇关于linux系统使用审计audit查看系统安全情况。的文章就介绍到这儿，希望我们推荐的文章对大家有所帮助，也希望大家多多支持为之网！