1. 审计目标与范围设定
1.1 关键资产与风险点识别
在企业运维中,审计目标需要围绕关键资产、敏感配置和高风险操作展开。通过梳理服务器角色、数据库、身份认证入口和网络边界,确定需要持续监控的事件类型与规则命中率。
为确保后续日志分析具备可追踪性,应将关键资产、影响面与合规要求清晰列出,方便后续比对基线变化。
1.2 审计事件分类与策略
常见的审计事件分为访问控制变更、认证与会话、文件系统操作、系统调用及进程活动等。为提升分析效率,按业务单位或主机群分组设置不同的规则集合,确保事件分组便于报表与告警。
在企业级环境中,标签化关键事件,如登录失败、sudo 使用、对 /etc 及应用配置目录的修改等,以便在分析工具中快速聚合。
2. auditd 基础组件与运行环境
2.1 组件概览
auditd 作为 Linux 审计子系统的核心守护进程,负责收集、过滤并写入可检索的审计日志。它与 audit.rules 或 /etc/audit/rules.d/ 目录下的规则文件共同工作,确保策略在重启后仍然生效。
系统通常包含 ausearch、aureport、auditd.conf 以及 audispd(事件转发守护进程),用于日志查询、汇总与外部传输。掌握它们的用途对运维分析至关重要。
2.2 守则与日志策略
为了兼容合规性要求,务必配置日志轮转、持久化存储和时钟同步。日志轮转可以避免单文件过大导致的检索困难;时钟同步确保跨主机事件的时间线一致,为事件相关性分析奠定基础。
在策略层面,日志目标分解为“本地存储优先、远端汇报二级”模式,以降低单点故障影响,同时确保在网络异常时仍能保留最近的审计记录。
3. 持久化审计规则配置
3.1 规则文件与持久化路径
为了在重启后保持规则生效,将规则写入 /etc/audit/rules.d/ 目录下的 .rules 文件是企业运维的常见做法。这样可以避免手动执行 auditctl 命令丢失规则。
管理员应为规则设置清晰的 键名(key),以便后续使用 ausearch 与 aureport 进行高效筛选和统计。
3.2 常见规则示例
下面的示例展示了常用的 watcher 规则与系统调用监控,适用于大多数服务器的基线审计需求。请将其保存为 /etc/audit/rules.d/99-custom.rules。
-w /etc/passwd -p wa -k passwd_changes
-w /etc/shadow -p wa -k shadow_changes
-a always,exit -F arch=b64 -S execve -k execve
保存后,使用 systemctl restart auditd 重启审计守护进程以使新规则生效。若是 32 位系统,请确保相应的 arch 与指令集匹配。
3.3 审计日志轮转与容量规划
对于产生日志量较大的主机,配置日志轮转策略与保留期限是必需的。结合 logrotate 的轮转配合 auditd 的日志文件,可以避免磁盘饱和。
管理员应设定最大文件大小、保留天数和压缩策略,并确保紧急情况下的快速备份路径可用,以避免 日志丢失。
4. 日志分析与排错方法
4.1 证据收集与筛选
在进行事件还原时,ausearch 提供基于时间、用户、键名等条件的检索能力。通过对指定 键名 进行筛选,可以快速定位相关证据。
建议建立固定的分析流程:先用 aureport 生成摘要报表,再通过 ausearch 按需深入某条事件的上下文信息。
4.2 使用常用工具
常用工具包含 ausearch、aureport、auditd.conf、rsyslog 或 syslog-ng。这些工具共同构成日志收集、存储、分析的完整链路。
# 查看当前加载的规则
auditctl -l# 持久化后查看规则
cat /etc/audit/rules.d/99-custom.rules# 根据关键词查询事件
ausearch -k passwd_changes -i# 生成简单的汇总报告
aureport -k -i
5. 日志安全与合规性
5.1 日志完整性与时钟同步
日志完整性是合规性的重要组成部分。启用 日志校验与完整性检查,确保审计日志未被篡改。结合 NTP 同步,保证跨系统事件的一致时间线。
这在审计审查、取证以及对比基线时极为关键,尤其是在多云环境或混合架构中。
5.2 日志传输与损害控制
为防止单点故障导致日志丢失,将审计日志传输到集中日志服务器是常见做法。可使用 syslog、rsyslog、Filebeat 等组件实现远端聚合与加密传输。
在高安全环境中,对传输通道进行加密(TLS/SSL)并实现日志来源的身份鉴别,以抵御中间人攻击及日志污染。
