在CentOS系统中,Syslog日志审计是一个重要的安全措施,可以帮助系统管理员监控和记录系统活动,发现潜在的安全威胁。以下是通过CentOS Syslog实现日志审计的步骤:
安装Syslog服务:
sudo yum install rsyslog 启动和设置Syslog服务开机自启:
sudo systemctl start rsyslog sudo systemctl enable rsyslog 配置Syslog接收远程日志:
编辑 /etc/rsyslog.conf 文件,添加以下内容以接收远程日志:
*.* @172.16.248.198:514 修改此处IP为你的日志接收端IP,然后重启Syslog服务以应用更改:
sudo systemctl restart rsyslog 安装auditd:
在大多数Linux发行版中,auditd已经预装。如果没有,可以使用包管理器安装:
sudo yum install audit # CentOS/RHEL 配置auditd:
编辑 /etc/audit/auditd.conf 文件,确保以下配置:
log_format = RAW write_logs = yes log_file = /var/log/audit/audit.log 然后创建日志目录并设置权限:
sudo mkdir -p /var/log/audit sudo chown root:adm /var/log/audit sudo chmod 750 /var/log/audit 启动并启用auditd服务:
sudo systemctl start auditd sudo systemctl enable auditd 添加审计规则:
编辑 /etc/audit/rules.d/audit.rules 文件,添加你需要的审计规则。例如:
-a exit,always -F arch=b32 -S execve -k execve_audit -a exit,always -F arch=b64 -S execve -k execve_audit 然后重新加载auditd配置:
sudo augenrules --load 使用ausearch和aureport工具来监控和分析审计日志:
安装ausearch和aureport:
sudo yum install ausearch aureport # CentOS/RHEL 使用ausearch查询日志:
sudo ausearch -k execve_audit 使用aureport生成报告:
sudo aureport -k execve_audit 为了防止日志文件过大,可以定期备份和清理日志文件。
备份日志:
sudo cp /var/log/audit/audit.log /var/log/audit/audit.log.bak 清理旧日志:
可以使用logrotate工具来自动清理旧日志:
编辑 /etc/logrotate.d/audit 文件,添加以下内容:
/var/log/audit/*.log { daily missingok rotate 7 compress notifempty create 640 root adm } 然后重启logrotate服务:
sudo systemctl restart logrotate 通过以上步骤,你可以使用syslog和auditd实现详细的日志审计功能,帮助你监控和分析系统活动。定期审查和更新日志审计策略,以应对不断变化的安全威胁。
