RockyLinux Audit审计日志详解（手把手教你配置与分析Linux系统安全审计）

二、安装与启动 auditd 服务

RockyLinux 通常默认已安装 audit 包，但若未安装，可使用以下命令安装：

sudo dnf install audit -y

安装完成后，启动并设置开机自启：

sudo systemctl start auditdsudo systemctl enable auditd

验证服务状态：

sudo systemctl status auditd

三、配置审计规则（关键步骤）

Audit 的核心在于规则配置。规则定义了哪些行为需要被记录。规则分为两类：永久规则（写入配置文件）和临时规则（重启后失效）。

我们推荐使用永久规则。编辑规则文件：

sudo vi /etc/audit/rules.d/audit.rules

下面是一些常用规则示例（可直接复制到文件中）：

# 记录所有时间变更操作-a always,exit -F arch=b64 -S adjtimex -S settimeofday -k time_change-a always,exit -F arch=b32 -S adjtimex -S settimeofday -S stime -k time_change# 监控敏感文件（如 /etc/passwd）-w /etc/passwd -p wa -k identity-w /etc/shadow -p wa -k identity# 记录所有 sudo 命令使用-w /usr/bin/sudo -p x -k priv_cmd# 记录用户登录/登出-w /var/log/faillog -p wa -k logins-w /var/log/lastlog -p wa -k logins

保存文件后，重新加载规则：

sudo augenrules --load# 或者如果使用 audit.rules 直接加载sudo systemctl restart auditd

四、查看与分析 audit 日志

Audit 日志默认存储在 /var/log/audit/audit.log。但直接阅读原始日志较困难，建议使用专用工具解析。

1. 查看最近的审计日志：

sudo ausearch -k identity

上述命令会显示所有标记为 identity 的事件（即对 passwd/shadow 的操作）。

2. 生成人类可读的报告：

sudo aureport -x --key priv_cmd

该命令会列出所有执行过 sudo 的记录。

五、常见问题与最佳实践

• 日志文件可能快速增长，建议配置 logrotate 轮转策略。
• 避免监控过多文件，否则会影响系统性能。
• 定期审查日志，结合 SIEM 系统（如 ELK、Wazuh）实现集中分析。
• 确保 auditd 服务始终运行，可通过监控工具告警其状态。

六、总结

通过本文，你已经掌握了在 RockyLinux 上配置和使用 Linux审计日志配置 的完整流程。无论是为了满足合规要求，还是提升系统安全性，auditd服务教程 提供的基础能力都不可或缺。记住，有效的 系统安全审计 不仅依赖于日志收集，更在于持续的监控与响应。

提示：生产环境中建议结合 SELinux 和防火墙策略，构建纵深防御体系。