在Ubuntu系统中,触发安全审计日志可以通过以下几种方法:
auditd
服务auditd
是Linux系统自带的审计守护进程,可以记录系统调用和文件访问等操作。
auditd
sudo apt update
sudo apt install auditd audispd-plugins
auditd
服务sudo systemctl start auditd
sudo systemctl enable auditd
编辑/etc/audit/audit.rules
文件,添加你想要审计的规则。例如,审计所有文件的写入操作:
-a exit,always -F arch=b32 -S write -k file_write
-a exit,always -F arch=b64 -S write -k file_write
审计日志通常存储在/var/log/audit/audit.log
文件中。你可以使用以下命令查看日志:
sudo ausearch -k file_write
sysdig
工具sysdig
是一个强大的系统监控和分析工具,可以捕获和分析系统调用。
sysdig
sudo apt update
sudo apt install sysdig
sysdig
捕获系统调用sudo sysdig -c topfiles_bytes
你可以将捕获的系统调用保存到文件中,然后进行分析:
sudo sysdig -c topfiles_bytes -o topfiles_bytes.csv
strace
工具strace
是一个用于跟踪系统调用和信号的工具,可以用来调试和分析程序的行为。
strace
sudo apt update
sudo apt install strace
strace
跟踪进程sudo strace -p <PID>
跟踪结果会输出到终端,你也可以将其重定向到文件中:
sudo strace -p <PID> -o trace.log
auditctl
命令auditctl
是auditd
的命令行工具,可以用来动态添加和管理审计规则。
sudo auditctl -a exit,always -F arch=b32 -S write -k file_write
sudo auditctl -a exit,always -F arch=b64 -S write -k file_write
sudo auditctl -l
通过以上方法,你可以在Ubuntu系统中触发和查看安全审计日志,从而更好地监控和分析系统的安全状况。