监视一个系统调用mkdir:
首先设置监视规则:sudo auditctl -a entry,always -S mkdir -k ccoss
我们执行一个命令:mkdir test
然后我们可通过查看日志的命令来查看日志:
sudo ausearch -c mkdir -i -----这样查看监控的所有创建目录的日志内容
sudo ausearch -sc mkdir -i -----作用和上面差不多,但是只针对系统调用
sudo ausearch -k ccoss -i -----这个是依靠关键字来查询相关的信息
ausearch的参数还有很多,也可以自由组合,我们可以写一个脚本,来定时查询审计系统是不是检测到
用户是不是违规使用某一个指令了。
我们还可使用aureport生成针对全局的审计报告。
监视某一个文件夹或者文件夹的动作:
首先设置监视规则:
sudo auditctl -w /home/hongtaoxu/hello/ -p w -k cocreate
监视文件hello,对文件的写动作将被记录下来。
sudo ausearch -i -k cocreate
上面的句子可以查询对hello的相关动作,还有其他参数可以搭配使用。
如果是监控的一个文件我们可以用参数 -f
sudo ausearch -f /home/hongtaoxu/hello/test -i
这些都可以写成脚本,可以提取相关信息。
其中用task链表我们可以监控一些应用程序,用a0---a3可以传递一些参数,但是task
必须监视已经正在运行的应用程序,对于还没有运行的不能监视。这个可以实现对特
定程序的监控。
阅读(1364) | 评论(0) | 转发(0) |
