审计日志记录了系统发生的所有重要事件，包括：

• 用户登录/登出记录
• 特权命令执行
• 文件系统修改
• 系统配置变更

通过分析审计日志，管理员可以：

• 追踪可疑活动
• 满足合规要求
• 进行事后取证
• 优化系统安全策略

Linux审计系统主要由以下组件构成：

1. auditd守护进程：核心服务，负责收集和存储审计记录
2. auditctl工具：用于配置审计规则
3. ausearch/aureport工具：用于查询和分析审计日志
4. /etc/audit/audit.rules：审计规则配置文件

1. 安装审计工具包

# Ubuntu/Debian
sudo apt-get install auditd audispd-plugins

# CentOS/RHEL
sudo yum install audit audit-libs

2. 启动并启用审计服务

sudo systemctl start auditd
sudo systemctl enable auditd

3. 配置基本审计规则

编辑配置文件：

sudo vim /etc/audit/audit.rules

添加以下基本规则：

# 监控系统调用
-a always,exit -F arch=b64 -S execve

# 监控文件修改
-w /etc/passwd -p wa -k identity
-w /etc/shadow -p wa -k identity
-w /etc/sudoers -p wa -k identity

# 监控登录活动
-w /var/log/auth.log -p wa -k authentication

# 监控特权命令
-w /bin/su -p x -k privileged
-w /usr/bin/sudo -p x -k privileged

4. 重载审计规则

sudo auditctl -R /etc/audit/audit.rules

1. 日志轮转配置

编辑/etc/audit/auditd.conf：

max_log_file = 50     # 日志文件最大MB数
num_logs = 5          # 保留的日志文件数量
max_log_file_action = ROTATE

2. 远程日志存储

配置audisp-remote插件实现日志远程备份：

# 在/etc/audisp/plugins.d/au-remote.conf中设置
active = yes
direction = out
path = /sbin/audisp-remote
type = always
args = /etc/audisp/audisp-remote.conf
format = string

3. 自定义规则示例

# 监控特定用户的命令执行
-a exit,always -F arch=b64 -F euid=1000 -S execve -k user_commands

# 监控特定目录下文件访问
-w /var/www/html/ -p rwa -k web_content

1. 基本查询命令

# 查看最近10条记录
sudo ausearch -m all -i | head -10

# 按关键字搜索
sudo ausearch -k privileged -i

# 生成报告
sudo aureport -au

2. 实时监控

sudo tail -f /var/log/audit/audit.log

3. 使用ELK Stack进行集中分析

将审计日志导入Elasticsearch，使用Kibana进行可视化分析。

1. 审计服务无法启动

检查/var/log/audit/audit.log中的错误信息，常见原因包括：

• 配置文件语法错误
• 磁盘空间不足
• SELinux冲突

2. 日志文件过大

解决方案：

• 优化审计规则，减少不必要的事件记录
• 增加日志轮转频率
• 考虑使用日志压缩

3. 性能影响

如果发现系统性能下降：

• 减少审计规则数量
• 避免监控高频事件
• 考虑使用更高效的存储后端