Chinaunix首页 | 论坛 | 博客
  • 博客访问: 106515
  • 博文数量: 41
  • 博客积分: 984
  • 博客等级: 军士长
  • 技术积分: 430
  • 用 户 组: 普通用户
  • 注册时间: 2010-05-12 09:57
文章分类

全部博文(41)

文章存档

2010年(41)

分类:

2010-06-20 20:18:11

监视一个系统调用mkdir:
首先设置监视规则:sudo auditctl -a entry,always -S mkdir -k ccoss

我们执行一个命令:mkdir test
然后我们可通过查看日志的命令来查看日志:
sudo ausearch -c mkdir -i -----这样查看监控的所有创建目录的日志内容
sudo ausearch -sc mkdir -i -----作用和上面差不多,但是只针对系统调用
sudo ausearch -k ccoss -i -----这个是依靠关键字来查询相关的信息
ausearch的参数还有很多,也可以自由组合,我们可以写一个脚本,来定时查询审计系统是不是检测到
用户是不是违规使用某一个指令了。
我们还可使用aureport生成针对全局的审计报告。

监视某一个文件夹或者文件夹的动作:
首先设置监视规则:
sudo auditctl -w /home/hongtaoxu/hello/ -p w -k cocreate
监视文件hello,对文件的写动作将被记录下来。
sudo ausearch -i -k cocreate
上面的句子可以查询对hello的相关动作,还有其他参数可以搭配使用。
如果是监控的一个文件我们可以用参数 -f
sudo ausearch -f /home/hongtaoxu/hello/test -i

这些都可以写成脚本,可以提取相关信息。

其中用task链表我们可以监控一些应用程序,用a0---a3可以传递一些参数,但是task
必须监视已经正在运行的应用程序,对于还没有运行的不能监视。这个可以实现对特
定程序的监控。
阅读(1184) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~