在当今的网络安全环境中,系统审计是保障服务器和工作站安全的重要手段。对于使用 Ubuntu 系统的用户来说,audit.log 审计日志文件记录了系统中关键的安全事件,如文件访问、用户登录、权限变更等。本文将手把手教你如何启用、配置并分析 Ubuntu 的审计日志,即使是 Linux 新手也能轻松上手。
什么是 audit.log?
在 Ubuntu(以及其他 Linux 发行版)中,audit.log 是由 auditd
(Audit Daemon)服务生成的日志文件,通常位于 /var/log/audit/audit.log
。它详细记录了系统中符合审计规则的操作,例如:
sudo) 对敏感文件(如
/etc/passwd)的读写操作 系统调用(如
execve、
open) 登录和登出事件
第一步:安装 auditd 服务
大多数 Ubuntu 系统默认未安装
auditd。我们需要先安装它:
安装完成后,启动服务并设置开机自启: 审计规则决定了哪些行为会被记录。规则可以临时添加(重启后失效),也可以永久写入配置文件。 例如,监控对 参数说明: 编辑 修改后,重启 原始日志位于 通过本教程,你已经掌握了 Ubuntu audit.log 的基本使用方法。合理配置 Linux审计日志 不仅能帮助你追踪异常行为,还能满足合规性要求(如等保、GDPR)。记住,auditd配置教程 中的核心是“按需监控”,避免过度记录。最后,定期审查 系统安全审计 日志,是每个系统管理员的必备技能。 提示:生产环境中建议结合 ELK(Elasticsearch + Logstash + Kibana)或 Grafana Loki 实现集中化日志分析。sudo apt updatesudo apt install auditd audispd-plugins -y 第二步:启动并启用 auditd 服务
sudo systemctl start auditdsudo systemctl enable auditd 第三步:配置审计规则
临时添加规则(测试用)
/etc/passwd
文件的任何访问:sudo auditctl -w /etc/passwd -p rwxa -k passwd_access -w
:指定要监控的文件或目录 -p rwxa
:监控读(r)、写(w)、执行(x)、属性修改(a) -k passwd_access
:为该规则打上关键字标签,便于后续搜索 永久保存规则
/etc/audit/rules.d/audit.rules
文件(若不存在可创建):# 监控敏感文件-w /etc/passwd -p rwxa -k passwd_access-w /etc/shadow -p rwxa -k shadow_access# 监控 sudo 命令-a always,exit -F arch=b64 -S execve -C uid!=euid -k sudo_cmd# 记录所有失败的系统调用-a always,exit -F arch=b64 -S open,openat -F exit=-EACCES -k access_denied auditd
使规则生效:sudo systemctl restart auditd 第四步:查看和分析 audit.log
/var/log/audit/audit.log
,但直接阅读非常困难。推荐使用 ausearch
和 aureport
工具。使用 ausearch 按关键字搜索
# 查看所有标记为 passwd_access 的事件sudo ausearch -k passwd_access 使用 aureport 生成摘要报告
# 生成用户活动报告sudo aureport -u# 生成文件访问报告sudo aureport -f 常见问题与最佳实践
日志过大怎么办? 可通过 /etc/audit/auditd.conf
配置日志轮转(如 max_log_file = 10
表示单个日志最大10MB)。 性能影响? 过多的审计规则会影响系统性能,建议只监控关键资源。 安全建议: 将 audit.log
日志发送到远程日志服务器,防止被攻击者篡改。 总结
