CentOS日志审计的主要内容是什么

CentOS日志审计的主要内容

一 审计范围与关键事件

• 身份与账户变更：关注用户/组新增与删除（如 ADD_USER、DEL_USER、ADD_GROUP、DEL_GROUP）、权限与特权变更（如 SUDO/提权、CAPSET、CHGRP_ID/CHUSER_ID）、以及审计系统自身配置变更（CONFIG_CHANGE），确保可追溯的账户与授权轨迹。
• 登录与认证：覆盖登录成功/失败、会话启停、以及SSH/控制台等访问路径，识别暴力破解与异常来源。
• 关键系统命令与进程：对execve等执行事件进行审计，结合命令名、参数、父进程等还原操作链。
• 文件与目录访问：对敏感文件/目录（如 /etc/passwd、/etc/shadow、/var/log、业务配置与代码目录）的读/写/执行/属性更改进行监控。
• 计划任务与守护进程：cron调度执行与变更、systemd服务启停、以及审计守护进程auditd自身的启动/停止/轮转等。
• 安全策略与内核事件：SELinux AVC拒绝、MAC策略变更、内核级异常与完整性相关事件。
• 合规基线提示：面向等保等场景，审计内容应至少覆盖用户增删、审计功能启停、审计策略调整、权限变更、异常资源使用、重要系统操作等，并保证记录包含时间、用户、事件类型、成功与否等要素。

二 日志来源与典型日志文件

三 审计记录的关键字段与解读

• 身份链路：关注auid（原始登录用户ID）、uid/euid/suid、gid/egid/sgid，用于还原“谁在通过什么身份执行”。
• 进程与命令：关注pid/ppid、comm（命令名）、exe（可执行文件路径）、proctitle，用于定位具体进程与调用链。
• 访问与结果：关注syscall（系统调用号）、success（是否成功）、exit（返回码），判断操作是否成功及影响。
• 对象与路径：关注PATH/CWD/name（被访问对象）、inode/dev，精确定位到文件/目录。
• 时间与来源：关注time/msg=audit(…) 时间戳、终端（tty/pts）、会话（ses）等，辅助时序与来源分析。
• 示例要点：一条文件访问事件通常由多条记录组成（如SYSCALL、CWD、PATH、PROCTITLE），通过auid→uid可追溯原始登录用户，通过success/exit判断是否被拒绝或失败。

四 审计规则与常用查询

• 关键审计规则示例：
  • 监控关键文件：-w /etc/passwd -p wa -k identity（监控写入与属性更改，关键词 identity）。
  • 监控命令执行：-a exit,always -F arch=b64 -S execve -k exec_64 与 -a exit,always -F arch=b32 -S execve -k exec_32（覆盖 32/64 位 execve）。
  • 规则持久化：将规则写入**/etc/audit/rules.d/*.rules**，使用augenrules --load加载，确保重启有效。
• 常用查询与报表：
  • 按关键词检索：ausearch -k identity（查看与 identity 标记相关的事件）。
  • 按文件检索：ausearch -f /etc/passwd。
  • 生成报表：aureport -k（按关键字统计）、aureport -au（认证统计）、aureport -m（账户变更）。

五 合规留存与日志保护

• 留存周期：审计记录应至少保存 6 个月（等保与网安法常见要求），并建立异地/集中备份与防篡改机制。
• 集中与加密：通过 rsyslog 将日志远程发送到日志服务器，并启用 TLS/SSL 保证传输机密性与完整性。
• 存储与访问控制：对**/var/log/secure、/var/log/audit/audit.log等设置最小权限**，必要时使用chattr +a等机制防止删除/篡改。
• 轮转与容量：使用 logrotate 按日/周轮转并压缩归档，配置磁盘空间阈值告警与动作（如 space_left_action）避免日志写满导致审计中断。