CentOS Syslog日志审计方法

CentOS Syslog日志审计方法如下：

1. 安装与配置Syslog服务

   • 安装rsyslog：sudo yum install rsyslog。
   • 启动服务并设置开机自启：sudo systemctl start rsyslog && sudo systemctl enable rsyslog。
   • 编辑配置文件/etc/rsyslog.conf，添加远程日志接收规则（如*.* @IP:514）并重启服务。

2. 配置审计规则

   • 使用auditctl工具定义规则，例如监控文件操作：sudo auditctl -w /etc/passwd -p wa -k passwd_change。
   • 查看规则：sudo auditctl -l。

3. 日志存储与轮转

   • 配置/etc/logrotate.d/rsyslog或/etc/logrotate.d/audit，设置按天轮转、保留30天等规则。
   • 确保日志文件权限正确，如chown root:adm /var/log/audit。

4. 日志分析与监控

   • 使用ausearch查询审计日志，aureport生成报告，例如：sudo aureport -au -ts today -te 7。
   • 通过cat /var/log/audit/audit.log查看原始日志，验证是否包含时间、用户、事件类型等关键信息。

5. 安全加固

   • 限制日志文件访问权限，使用chattr +i设置不可修改属性。
   • 配置防火墙限制Syslog服务访问源IP。
   • 启用TLS加密传输日志（需配置rsyslog支持TLS）。

6. 审计进程保护

   • 检查auditd服务状态，确保非授权用户无法停止进程。
   • 定期备份日志至异地服务器，留存周期不少于6个月。

参考来源：