System Log (系统日志) – Eternal Center

April 23, 2025April 23, 2025

[命令] Linux 命令 auditctl/aureport 的使用（管理 audit 日志）

步骤一：查看 audit 目前生效的所有配置

/sbin/auditctl -s

步骤二：查看 audit 目前生效的所有规则

/sbin/auditctl -l

步骤三：生成 audit 报告

/sbin/aureport

April 21, 2025April 21, 2025

[步骤] Linux 命令的监控（audit 版）

正文：

步骤一：添加监控命令的 audit 规则

1.1 添加监控命令的 audit 规则的格式

-w <command> -p x -k <search_key>

（
补充：
1) 这里的 <command> 是要监控的命令
2) 这里的 <search_key> 是个标识，用于简化在 audit 日志里搜索此命令
）

1.2 添加监控命令的 audit 规则的案例

-w /usr/bin/rm -p x -k rm_command

（
补充：这里以
1) 监控 /usr/bin/rm 命令
2) 标识是 rm_command 为例
）

步骤二：让刚刚添加的规则生效

2.1 合并新添加的 audit 规则

# augenrules

2.2 重启 auditd 服务

# service auditd restart

步骤三：查看新添加的规则

# auditctl -l

步骤四：查看某个表示的 audit 日志

# ausearch -k rm_command

（补充：这里以查看标识为 rm_command 的 audit 日志为例）

参考文献：

https://access.redhat.com/solutions/3401281

March 20, 2025March 20, 2025

[步骤] Linux audit 日志的查看（判断哪个文件是被哪个用户修改过）

步骤一：查看在 audit 日志中文件被修改的日志编号

# cat /var/log/audit/audit.log | grep test.txt
......
type=PATH msg=audit(1532475291.426:18858423)......
......

（
补充：
1) 这里以查看在 audit 日志中文件 test.txt 被修改的记录为例
2) 从这里的输出结果可以看到此次的修改记录中日志的编号是 18858423
）

步骤二：在 audit 日志中查看和此日志编号相同的的日志里记录的 PPID

# cat /var/log/audit/audit.log | grep ppid | grep 18858423
......
...... ppid=6027281 ......
......

（
补充：
1) 这里以查看在 audit 日志中和日志编号 18858423 相同的的日志里记录的 PPID 为例
2) 这里的日志编号 18858423 是在步骤一中查到的
3) 从这里的输出结果可以看到和此日志编号相同的日志里记录的 PPID 是 6027281
）

步骤三：在系统日志中查看哪个用户登录系统时生成的是此 PPID

# cat /var/log/messages | grep terminal=ssh  | grep 6027281

（
补充：
1) 这里以查看在系统日志中哪个用户登录系统时生成的是 PPID 6027281 为例
2) 这里的 PPID 6027281 是在步骤二中查到的
)

November 22, 2024November 22, 2024

[步骤] Linux 排错报告的生成

步骤一：新开 1 个端口开启 tcpdump 命令生成 TCP 报告

# tcpdump -s 0 -i INTERFACE -w /tmp/tcpdump.pcap

（补充：这里以生成名为 /tmp/tcpdump.pcap 的 TCP 报告为例）

步骤二：新开 1 个端口使用 strace 命令生成追踪报告

# strace -fvttTyy -s 4096 -o /tmp/strace.log

（补充：这里以生成名为 /tmp/strace.log 的追踪报告为例）

步骤三：执行会报错的步骤

# mount -vvv -t cifs -o username=<share user>,password=<share password>,domain=<share domain> //<share folder> /mnt

（补充：这里以挂载 Samba 目录为例）

步骤四：分析刚刚生成的 TCP 报告和追踪报告

（注意：在本文章中，在前面生成的 TCP 报告是 /tmp/tcpdump.pcap 追踪报告是 /tmp/strace.log）

October 12, 2024November 22, 2024

[步骤] Linux 让 auditd 对所有进程进行监控的设置（让 auditd 日志进程最早被启动）

正文：

步骤一：让 auditd 日志进程最早被启动的目的

auditd 只能监控比它后启动的进程，恶意软件如果比它先启动则无法被其监控

步骤二：让 auditd 日志进程最早被启动

2.1 修改 /etc/default/grub 文件

在这一行里：

GRUB_CMDLINE_LINUX="......"

添加：

GRUB_CMDLINE_LINUX="...... audit=1"

2.2 使刚刚的修改生效

# grub2-mkconfig -o /boot/grub2/grub.cfg

参考文献：

https://access.redhat.com/solutions/971883