一种用于Linux的audit日志分析方法与流程

本发明涉及服务器技术领域，具体的说是一种用于Linux的audit日志分析方法。

背景技术：

Linux内核有用日志记录事件的能力，比如记录系统调用和文件访问。然后，管理员可以评审这些日志，确定可能存在的安全裂口，比如失败的登录尝试，或者用户对系统文件不成功的访问。这种功能称为Linux审计系统。

Audit能够满足记录文件变化、记录用户对文件的读写，甚至记录系统调用，文件变化通知等需求。针对不同的操作系统都可以配置Audit子系统来搜集系统事件。Audit子系统是搜集系统运行中所发生的事件，可以根据这些事件包括在Kernel events(syscall events)，User events(audit-enabled programs)等信息，来分析确定可能存在的安全裂口，比如失败的登录尝试，或者用户对系统文件不成功的访问。

技术实现要素：

本发明针对目前技术发展的需求和不足之处，提供一种用于Linux的audit日志分析方法。

本发明所述一种用于Linux的audit日志分析方法，解决上述技术问题采用的技术方案如下：所述一种用于Linux的audit日志分析方法，通过在Linux操作系统中进行Audit的配置及分析，从Audit子系统中查看系统事件，搜索确定安全裂口；其实现过程主要包括如下步骤：1)audit服务端安装，2)audit客户端配置，3)修改audit规则，4)audit分析。

优选的，所述1)audit服务端安装这一步骤主要包括：(1)安装audit；(2)修改/etc/audit/auditd.conf文件进行配置；(3)重启audit服务。

优选的，所述2)audit客服端配置这一步骤主要包括：(1)在客户端上面安装audispd-plugins；(2)修改/etc/audisp/audisp-remote.conf配置远程服务端地址；(3)修改/etc/audisp/plugins.d/au-remote.conf文件；(4)重启audit服务。

优选的，所述3)修改audit规则这一步骤主要包括：通过修改/etc/audit/audit.rules目录，添加规则链；或者，通过使用auditctl命令进行规则链的添加。

优选的，所述4)audit分析这一步骤主要包括：使用ausearch和aureport命令进行audit的日志分析，能够通过man命令进行查看。

本发明所述一种用于Linux的audit日志分析方法与现有技术相比具有的有益效果是：本发明针对不同的操作系统配置Audit子系统来搜集系统事件，通过audit的配置，能够详细地看出系统调用，用户访问等信息；并通过记录的系统调用以及用户访问等事件信息，可以分析那些系统调用及用户访问失败的问题，以便于及时发现系统漏洞等，提高了系统的稳定性和产品性能。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚明白，以下结合具体实施例，对本发明所述一种用于Linux的audit日志分析方法进一步详细说明。

实施例：

本实施例一种用于Linux的audit日志分析方法，通过在Linux操作系统中进行Audit的配置及分析，从Audit子系统中查看系统事件，提高对安全裂口的搜索；其实现过程主要包括如下步骤：1)audit服务端安装，2)audit客户端配置，3)修改audit规则，4)audit分析。

所述1)audit服务端安装这一步骤主要包括：

(1)安装audit；

执行yum install audit

(2)修改/etc/audit/auditd.conf文件进行配置；

例如：

修改tcp_listen_port＝1000

修改完成后，执行semanage port-a-t audit_port_t-p tcp 1000使之生效。(3)重启audit服务；

执行service auditd restart。

所述2)audit客服端配置这一步骤主要包括：

(1)在客户端上面安装audispd-plugins

执行yum install audispd-plugins

(2)修改/etc/audisp/audisp-remote.conf配置远程服务端地址；

remote_server＝x.x.x.x

port＝1000

(3)修改/etc/audisp/plugins.d/au-remote.conf文件如下：

active＝yes

direction＝out

path＝/sbin/audisp-remote

type＝always

#args＝

format＝string

(4)重启audit服务。

所述3)修改audit规则这一步骤主要包括：通过修改/etc/audit/audit.rules目录，添加规则链；或者，通过使用auditctl命令进行规则链的添加。

所述4)audit分析这一步骤主要包括：使用ausearch和aureport命令进行audit的日志分析，具体使用方法可通过man命令进行查看。

上述具体实施方式仅是本发明的具体个案，本发明的专利保护范围包括但不限于上述具体实施方式，任何符合本发明的权利要求书的且任何所属技术领域的普通技术人员对其所做的适当变化或替换，皆应落入本发明的专利保护范围。