一、简介

Auditd服务是一个负责日志记录的工具，可以记录各种系统事件，并且可以根据配置文件筛选想要记录的事件类型。它适用于安全审计、系统故障排查等多个方面。

二、安装和配置

安装并启动auditd服务可在Linux系统上使用yum命令：

yum install audit -y
systemctl start auditd.service
systemctl enable auditd.service

配置文件的位置位于/etc/audit/auditd.conf，常用参数如下：

• priority_boost：调整优先级
• max_log_file：最大日志文件大小
• num_logs：日志文件数量
• name_format：日志文件命名格式
• log_file：日志文件位置

三、日志管理

通过配置文件，可以控制每个事件类型是否被记录，以及记录的日志内容。例如：

# Record system calls
-a always,exit -F arch=b64 -S execve -C uid!=euid -F euid=0 -k root_activity
# Record file system events
-w /etc/shadow -p wa -k sensitive_files

以上配置会在执行文件execve且不是euid为0的root用户时记录系统调用日志，并在写入/etc/shadow文件时记录文件系统事件。 查看日志的方法有：

• ausearch：搜索/查询日志
• aureport：生成日志报告
• auditctl：动态修改配置文件

四、实例应用

以下是一个例子，将记录所有登录成功和失败的信息：

# Log successful logins
-a always,exit -F arch=b64 -S execve -C uid!=euid -F euid=0 -k root_activity
-a always,exit -F arch=b64 -S execve -C uid!=euid -F euid=1100 -k my_activity
# Log failed logins
-a always,exit -F arch=b64 -S execve -C exit!=0 -F auid>=1000 -F auid!=4294967295 -k failed_logins

通过上面的配置记录的日志和查看日志，可以找到哪些用户尝试登录系统并且其中哪些成功了，哪些失败了。

五、总结

Auditd服务是一个强大的系统事件日志记录工具，可以通过配置灵活控制记录哪些事件类型并且可以方便地查看和分析日志，有助于排查系统故障、提高安全性。