您好,登录后才能下订单哦!
密码登录
登录注册
点击 登录注册 即表示同意《亿速云用户服务条款》
# Linux单机日志审核怎么设置
在Linux系统中,日志审核是安全运维的重要环节。通过配置日志审核,可以记录系统关键事件,便于事后追溯和分析。以下是单机环境下的日志审核设置方法:
## 一、使用auditd服务
1. **安装auditd工具**
主流Linux发行版通常预装auditd,若未安装可执行:
```bash
sudo apt install auditd -y # Debian/Ubuntu
sudo yum install audit -y # CentOS/RHEL
启动并设置开机自启
sudo systemctl enable --now auditd
添加审计规则
编辑/etc/audit/rules.d/audit.rules文件,示例规则:
-w /etc/passwd -p wa -k user_changes
-a always,exit -F arch=b64 -S execve -k process_exec
主配置文件
/etc/audit/auditd.conf控制日志存储行为:
max_log_file = 50 # 日志文件大小(MB)
num_logs = 5 # 保留日志数量
查看日志
使用ausearch工具查询记录:
ausearch -k user_changes | tail -n 20
编辑/etc/logrotate.d/audit确保日志定期归档:
/var/log/audit/*.log {
weekly
rotate 4
compress
}
sudo tail -f /var/log/audit/audit.log
提示:生产环境建议结合
audit2allow工具进行策略分析,复杂场景可考虑部署ELK等日志分析系统。 “`
(全文约400字,包含配置示例和操作说明)
免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。