本文分享自华为云社区《Linux-Audit工具使用简介》，作者： 云存储开发者支持团队。

简单来讲 audit 是 Linux 上的审计工具，可以用来记录和监控对文件、目录、系统资源的更改；Audit 无法直接增强系统的安全性，但是它可以用于发现违反系统安全政策的行为。

查看 audit 服务是否起来

查看状态：systemctl status auditd.service

开启 auditd 服务：service auditd start

重启服务：service auditd restart / service auditd reload

配置需要监控的目录

auditctl -w /var/crash/coredump

• -w path : 指定要监控的路径，上面的命令指定了监控的文件路径 var/crash/coredump

• -p : 指定触发审计的文件/目录的访问权限

• rwxa ： 指定的触发条件，r 读取权限，w 写入权限，x 执行权限，a 属性（attr）

配置方法 A

配置方法 B (A 方法失败)

上述回显异常，需在 audit 规则内配置监控项。

查看规则：auditctl –l（若查询不到，请重启节点-reboot）

查看日志

到/var/log/audit 目录下面。 敲这个命令行就可以：grep -rn 搜索的字符串*

grep -rn core*

日志解析

/var/crash/coredump 目录下创建了 test 文件。时间：2021-01-16 17:10:44

/var/crash/coredump 目录下删除了 test 文件。时间：2021-01-16 17:12:23

audit 已经提供了一个更好的事件查看工具——ausearch，使用 auserach -h 查看下该命令的用法。

日志参数解读参考：https://blog.csdn.net/qwertyupoiuytr/article/details/58278349

附录

• 查看 auditctl 命令使用规则：auditctl –h

• 查看定义的规则：auditctl –l

• 清空定义的规则：auditctl -D

CWD 类型：https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/6/html/security_guide/sec-audit_record_types

时间戳转换工具：http://tool.chinaz.com/Tools/unixtime.aspx

点击关注，第一时间了解华为云新鲜技术~