Ubuntu日志审计的主要步骤如下:
-
启用和配置审计服务
- 安装
auditd服务:sudo apt-get install auditd。 - 启动服务并设置开机自启:
sudo systemctl start auditd、sudo systemctl enable auditd。 - 配置审计规则:编辑
/etc/audit/audit.rules,定义需监控的事件(如记录sudo命令)。
- 安装
-
日志收集与管理
- 确定日志来源:如系统内核(
/var/log/kern.log)、认证服务(/var/log/auth.log)、应用程序日志等。 - 使用
logrotate管理日志轮转,避免文件过大:编辑/etc/logrotate.conf配置轮转策略。
- 确定日志来源:如系统内核(
-
日志分析与响应
- 使用工具分析日志:
- 命令行工具:
ausearch(搜索特定事件)、aureport(生成审计报告)。 - 图形化工具:ELK Stack(可视化分析)、Graylog(SIEM管理)。
- 命令行工具:
- 建立日志基线,识别异常行为(如非授权登录尝试)。
- 使用工具分析日志:
-
高级应用与维护
- 集成SIEM系统(如ELK Stack)实现日志集中管理与告警。
- 定期审查审计规则,清理旧日志,备份重要日志。