RockyLinux监控事件管理配置（手把手教你搭建系统级事件监控与日志审计）

一、为什么需要事件监控？

事件监控可以帮助你：

• 及时发现系统异常（如服务崩溃、磁盘满）
• 追踪用户操作行为，满足合规要求
• 实现自动化告警，减少人工巡检成本
• 支持事后审计，提升 Linux安全审计 能力

二、Rocky Linux 默认日志系统简介

Rocky Linux 基于 RHEL，使用 systemd-journald 和 rsyslog 作为核心日志组件：

• journald：实时收集内核、服务、用户会话等日志，存储在二进制格式中
• rsyslog：传统文本日志系统，可将日志写入文件（如 /var/log/messages）

三、启用并配置 auditd 审计服务（关键步骤）

auditd 是 Linux 内核级的审计框架，能记录文件访问、系统调用、用户命令等敏感操作，是实现 事件日志配置 的核心工具。

1. 安装 auditd

sudo dnf install audit -y  

2. 启动并设置开机自启

sudo systemctl enable --now auditd  

3. 配置监控规则（以监控 /etc/passwd 为例）

编辑规则文件 /etc/audit/rules.d/monitor.rules：

# 监控 passwd 文件的读写执行-w /etc/passwd -p rwxa -k passwd_access# 监控所有用户执行的特权命令-a always,exit -F arch=b64 -S execve -C uid!=euid -k priv_cmd  

4. 重载规则并验证

sudo augenrules --loadsudo auditctl -l  # 查看已加载规则  

四、查看与分析审计日志

所有审计日志默认保存在 /var/log/audit/audit.log。你可以使用以下命令过滤查看：

# 查看标记为 passwd_access 的事件sudo ausearch -k passwd_access# 生成可读性报告sudo aureport -x --key passwd_access  

五、进阶：配置日志轮转与远程转发

为避免日志过大，建议配置 logrotate；若需集中管理，可将日志通过 rsyslog 转发到 SIEM 系统（如 ELK、Splunk）。

例如，在 /etc/rsyslog.conf 中添加：

# 将 audit 日志转发到远程服务器 192.168.1.100$ModLoad imfile$InputFileName /var/log/audit/audit.log$InputFileTag audit:$InputFileStateFile audit-state$InputFileSeverity info$InputFileFacility local6$ActionQueueFileName fwdRule1$ActionQueueMaxDiskSpace 1g$ActionQueueSaveOnShutdown on$ActionQueueType LinkedList$ActionResumeRetryCount -1*.* @@192.168.1.100:514  

六、总结

通过本教程，你已经掌握了在 Rocky Linux 中配置基础 RockyLinux监控事件管理 的完整流程。从安装 auditd 到编写规则、查看日志，每一步都为你的系统安全筑起一道防线。记住，良好的 事件日志配置 不仅能预防问题，还能在事故发生后快速定位根源。

建议定期审查审计规则，并结合告警工具（如 Prometheus + Alertmanager）实现自动化运维。坚持实践，你也能成为 Linux 系统安全的守护者！