一、背景

本文专门针对Linux系统运维当中相关日志,总结概述经常要执行的操作,以备参考辅助。

二、常见日志

/var/log/message 系统启动后的信息和错误日志,是Red Hat Linux中最常用的日志之一,一般系统整体运行信息都会记录在该日志里,其中也包含系统启动期间的日志。此外,mail,cron,daemon,kern和auth等内容也会记录在var/log/messages日志中。

/var/log/daemon.log:记录包含各种系统后台守护进程日志信息

/var/log/maillog 与电子邮件服务器相关的日志信息

/var/log/cron 与系统计划任务相关的日志,每当cron任务被执行的时候都会在这个文件里面记录;

/var/log/spooler 与UUCP和news设备相关的日志信息

/var/log/boot.log 一般包含系统启动时的日志,包括自启动的服务,守护进程启动和停止相关的日志消息,

/var/log/wtmp 该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件,

/var/log/btmp 记录所有失败登录信息。它是非文本文件(二进制),可以使用last -f /var/log/btmp进行查看。

/var/log/utmp 记录包含登录信息。使用wtmp可以找出谁正在登陆进入系统,谁使用命令显示这个文件或信息等

/var/log/dmesg 记录内核缓冲信息(kernel ring buffer),系统启动相关日志。在系统启动时,会在屏幕上显示许多与硬件有关的信息。可以直接查看这个文件或者使用dmesg这个命令查看。

/var/log/lastlog 记录所有用户的最近信息。非文本文件,可以使用lastlog进行查看。

/var/log/secure 记录了用户登录访问等验证和授权方面信息。例如,sshd会将所有信息记录(其中包括失败登录)在这里

/var/log/auth.log:记录包含系统授权信息,包括用户登录和使用的权限机制等。

/var/log/yum.log 包含使用yum安装软件包的信息

/var/log/anaconda/ 目录 或者 /var/log/anconda.log 记录CentOS/RHEL安装时候的日志,在安装Linux时,所有安装信息都储存在这个文件中。

/var/log/audit目录: 包含audit daemon的审计日志。例如:selinux开启的时候,这里就会有关于selinux审计的日志。

/var/log/sa/ 目录:包含每日由sysstat软件包收集的sar文件。

/var/log/cups:涉及所有打印信息的日志,即cups打印服务运行的日志。

/var/log/dpkg.log:记录包括安装或dpkg命令清除软件包的日志

/var/log/prelink/:记录包含.so文件被prelink修改的信息。

三、操作示例

1))使用 grep 同时满足多个关键字和满足任意关键字

grep -E “word1|word2|word3” file.txt ##满足任意条件(word1、word2和word3之一)将匹配,-E 选项表用正则表达式过滤

grep word1 file.txt | grep word2 |grep word3 ##必须同时满足三个条件(word1、word2和word3)才匹配;多管道,多次筛选。

grep -in ‘wo’ file.txt ##里面的-in里面的i表示忽略大小写查询,n表示显示行数,表示打印file.txt里含wo字符串所在的行并同步显示对于的行号

grep -r date -d today +%Y-%m-%d catalina.out | grep -i -E ‘ERROR|WARN’ ##检索当前日期的ERROR及WARN级别的问题,-r参数,如果后跟遍历的路径参数有“符号链接”文件,则也会递归遍历符号链接指向的目录;-R不会,只会递归遍历当前指定目录下的所有文件,后不会跟【链接文件】作为路径参数。另grep -E 这个等同于egrep 。

定位文件里查询内容所在行的上下几行,如打印ERROR级别的上下几行:

cat xx.log | grep -C 5 ‘关键字’ //显示file文件里匹配“关键字”字串那行以及上下5行,大写C
cat xx.log | grep -B 5 ‘关键字’ //显示“关键字”及前5行
cat xx.log | grep -A 5 ‘关键字’ //显示“关键字”及后5行

grep -n ‘t[ae]st’ pp ##[ae]只当一个字符处理 a 或者是 e ,该命令可捕获含ast 和 test的字符串
grep ‘t[.]st’ pp ##.符号代表任意的字符
grep -n ‘[^g]oo’ pp ##这里的^在【】内就是取反的意思 非goo得字符;[]匹配单个字符
grep -n ‘[^a-zA-Z]oo’ pp ##取前面非字符的字符
grep -n ‘[0-9]’ pp // 取前面有数字的字符;这个等同于 grep -n ‘[0-9[0-9]*’ pp * 代表0个或是多个重复的信息
grep -n ‘go{2,5}p’ ##查看g和p之间存在两个连续o的字符串,这里利用限定符 {},表区间,至少2次重复,最多5次。
grep -n ‘go{2,}p’ pp ##查找至少两个的字符创
grep -n ‘go{2}p’ pp ##查找只有两个的字符串
grep -v ‘^$’ pp | grep -v ‘^#’ 等效于egrep -v ‘^$|^’
grep-A|B n"key" file ##A:表示在字符串之后 after context;B:表示在字符串之前 before context;n:要获取多少行文本 line number;key:为要查找的字符串;file:文件名
grep -A 10 -B 10 -i “key” filename
grep -10 -i “exception” filename ##获取异常日志的前10行和后10行,不用加-A和-B
grep –w “被查找的字符串” 文件名 ##获取与整个搜索字符匹配的内容
grep –r “被查找的字符串” 文件目录 ##递归搜索某个目录以及子目录下的所有文件
grep -H –r “被查找的字符串” 文件目录 | cut -d: -f1 [| uniq] ##获取哪些文件包含搜索的内容,并列出文件名,比如确定数据文件
eg:grep -H -r “v$temp_space_header” /u01/app/oracle/product/11.1.0/dbhome_1/rdbms/admin/ | cut -d: -f1 | uniq

egrep -n ‘g(o|pp)d’ pp ##():找出群组的数据,等效egrep -n ‘g(o|pp)d’ pp 查看god 或是gppd。这个类似于 [] 但是比[]强大的是可以是多个字符进行乱换
egrep -n ‘d(r|o)e’ pp ===== grep -n ‘d[ro]e’ pp

2):按行号查看—过滤出关键字附近的日志

cat -n test.log |grep “error” 得到关键日志的行号

cat -n test.log |tail -n +92|head -n 20 选择关键字所在的中间一行. 然后查看这个关键字前10行和后10行的日志;其中,tail -n +92表示查询92行之后的日志;head -n 20 则表示在前面的查询结果里再查前20条记录

awk ‘END{print NR}’ test.log //查看test.log文件里面总共有多少行,然后在用sed查看指定行;
sed -n ‘1,3p’ test.log //把test.log文件里面的第一行到第三行里面的内容给输出来,特备适合大文件日志

3)根据日期查询日志

sed -n ‘/2020-12-17 16:17:20/,/2021-04-20 16:17:36/p’ catalina.log ##上面的两个日期必须是日志中打印出来的日志,否则无效;

4)查看行区间内内容

sed -n “92,112p” catalina.log ##sed -n “开始行,结束行p” 文件名 查看文件多少行到多少行内容

more +/date -d today +%Y-%m-%d catalina.out|grep -i -En -A 10 ‘ERROR|WARN’ //显示ERROR或者warn日志后10行并显示行号

netstat -tunlp|grep ps aux|grep java|grep /opt/tomcat-boing|grep -v grep|awk ‘{print $2}’ //通过服务的进程查看占用的端口

tail -f 2019-11-01.log|perl -pe ‘s/(ERROR)/\e[1;31m$1\e[0m/g’ //实时显示标红错误日志

tail -f r.log|grep -i -En -A 10 ‘ERROR|WARN’ //实时打印ERROR|WARN级别的日志并显示后10行

tail -f /opt/ter.log|grep -i -En -A 10 ‘ERROR|WARN’>>/opt/error.txt //实时重定向错误日志到/opt/error.txt且往下写

5)查询最后20行,并查找关键字“error”,文字标红,上下扩展两行

tail -n 20 catalina.log | grep ‘error’ --color -a2

6)head和tail查看指定行数日志内容

tail -n 10 test.log 查询日志尾部最后10行的日志;

tail -n +10 test.log 查询10行之后的所有日志;即从尾部到第10(正数)行。

head -n 10 test.log 查询日志文件中的头10行日志;

head -n -10 test.log 查询日志文件除了最后10行的其他所有日志;从头部到倒数第(-10,倒数)行。

cat test.log | tail -n +3000 | head -n 1000 ##从第3000(tail+3000)行开始,显示1000行(head 1000)。即显示3000~3999行

7)日志清理之find按时间查找(find是从左向右处理的,所以表达式的前后顺序不同会造成不同的搜索性能差距。)

find . -type f -name ‘test*’ -delete ##delete参数,另-iname不区分大小写

find . -type f -name ‘test*’ | xargs rm -rf ##使用管道及xargs命令

find . -type f -name ‘test*’ -exec rm -rf {} ; ##使用-exec参数,注意{}和\;之间的空格,同时两个{}之间没有空格

a(last accessed) 最近一次访问时间,-atime +10表10天之前,-10表10天之内,10(没有加减号)表示第10天。

c(last changed) 最近一次改变时间:包括文件的权限、文件名的更改

m(last modified) 最近一次修改时间,文件的本身的内容更改

注:-cmin表按分钟时间查找,ctime表按24h查找,-mtime更适合筛选以小时为单位(相对时间)的时间区间。对于以绝对时间(如自然日)为单位的时间区间,更适合使用find {path} (!) -newermt -type f

find -mtime -1 ##-1是24小时之内操作过的;
find -mtime 1 ##1是24小时之外,48小时之内操作过的;
find -mtime +1 ##+1是48小时之外操作过的.

如果有文件同时符合两个或三个,优先出现在第一个,不会出现在第二个或第三个。比如有文件从三天前到今天一直在append,那么只会出现在find -mtime -1里,不会有交集。

另外还可以使用:find {path} -newermt {time} ##实际格式find -newerXY {variable},表查找一些X属性比variable的Y属性更早的文件。其中X指代find的目标文件属性,Y代表参照属性。X可选a,c,m;Y可选a,c,m,t。acm意义分别为atime(访问时间),ctime(改变时间),mtime(修改时间)。t代表客观绝对时间,只作为参照属性存在,格式为yyyy-MM-dd hh:mm:ss。

find {path} -newermt date +%F -type f ##查找今天修改内容的文件
find {path} ! -newermt `date +%F` -exec {order} {} ; ##查找除了今天修改的文件之外的文件
find /vpm/vpm1/vidstor -name ‘.vm’ -newermt ‘2020-01-01 00:00’ ! -newermt ‘2020-01-20 07:00’ | wc -l ##查找修改时间比2020-01-01 00:00之后且2月20日之前的文件。
find ./ -name '
.txt’ -type f -newermt ‘2020-01-01 00:00:00’ ! -newermt ‘2020-12-01 00:00:00’
find . -name ‘*.sql’ -exec grep -i ‘被检索内容’ {} ; -print

8)日志清理之find特殊文件

find . -type f ! -perm 777 ##查找没有777权限的文件
find . -perm /u=r ##查找只读文件
find . -type d -empty ##.查找空目录
find . -user blue ##查找某用户的文件

排除文件使用-prune将被find命令忽略,-path pathname -prune: 避开指定子目录pathname查找。-path expression -prune: 避开表达中指定的一组pathname查找。

-perm mode: 文件权限正好符合mode(mode为文件权限的八进制表示)。
-perm +mode: 文件权限部分符合mode。如命令参数为644(-rw-r–r–),那么只要文件权限属性中有任何权限和644重叠,这样的文件均可以被选出。
-perm -mode: 文件权限完全符合mode

find -newer file1 ! file2: 查找文件的更改日期(ctime)比file1新,但是比file2老的文件。
find . -newer users2 ! -newer test.tar.bz2 ##查找文件更改日期比users2新,但是不比test.tar.bz2新的文件

9)systemd日志查看,用journalctl命令:

journalctl //查看所有日志(默认情况下,只保存本次启动的日志)
  
journalctl -k //查看内核日志(不显示应用日志)
  
journalctl -b或journalctl -b -0 //查看系统本次启动的日志
    
journalctl -b -1查看上一次启动的日志(需更改设置)
  
journalctl --since=“2017-10-30 18:10:30” //查看指定时间的日志:
  journalctl --since “20 min ago”
  journalctl --since yesterday
  journalctl --since “2017-01-10” --until “2017-01-11 03:00”
  journalctl --since 09:00 --until “1 hour ago”
  
journalctl -n //显示尾部的最新10行日志
  
journalctl -n 20 //显示尾部指定行数的日志
  
journalctl -f //实时滚动显示最新日志
  
journalctl/usr/lib/systemd/systemd //查看指定服务的日志
  
journalctl_PID=1 //查看指定进程的日志
  
journalctl/usr/bin/bash //查看某个路径的脚本的日志
  
journalctl_UID=33 --since today //查看指定用户的日志
  
journalctl -u nginx.service //查看某个Unit 的日志
  journalctl -u nginx.service–since today
journalctl -u nginx.service-f //实时滚动显示某个Unit 的最新日志
  
journalctl -u nginx.service -u php-fpm.service–since today //合并显示多个Unit 的日志
  
journalctl -p err -b //查看指定优先级(及其以上级别)的日志,共有8级
0: emerg
1: alert
2: crit
3: err
4: warning
5: notice
6: info
7: debug

journalctl --no-pager //日志默认分页输出,–no-pager 改为正常的标准输出

journalctl -b -u nginx.service-o json //以JSON 格式(单行)输出
  
journalctl -b -u nginx.serviceqq-o json-pretty //以JSON 格式(多行)输出,可读性更好
  或journalctl -o json |jq . 需要安装jq(epel源)
journalctl --disk-usage //显示日志占据的硬盘空间
  
journalctl --vacuum-size=1G //指定日志文件占据的最大空间
  
journalctl --vacuum-time=1years //指定日志文件保存多久

四、安全审计相关

1、记录用户操作行为的脚本

1)创建用户命令行为记录脚本

logdir=/opt/oplog	##定义记录用户行为写入的日志路径
userdir=$logdir/${LOGNAME}
DT=`date +"%Y%m%d"`

export HISTFILE="/$userdir/history.$DT"  ##指定不同终端执行的命令都存储在同一个文件中
export HISTTIMEFORMAT="%F %T :"			## 历史命令执行的时间,类似手动编辑用户变量vi /$HOME/.bashrc
##手动添加HISTTIMEFORMAT="%Y-%M-%D %H:%M:%S" \n export HISTTIMEFORMAT
export HISTSIZE=128			###设置历史命令记录数,执行history命令时显示最近128条命令
export HISTFILESIZE=9000  ###定义在 .bash_history 中保存命令的记录总数 ,.bash_history文件可以保存9000条命令,默认为1000条;
export HISTCONTROL=ignoredups  ##忽略重复命令
#或
USER_IP=`who -u am i 2>/dev/null | awk '{print $NF}' | sed -e 's/[()]//g'` 
if [ "$USER_IP" = "" ] 
then 
USER_IP=`hostname` 
fi 
export HISTTIMEFORMAT="%F %T $USER_IP `whoami` " 
shopt -s histappend   #将history
export PROMPT_COMMAND="history -a" 
export PROMPT_COMMAND="history -a"  ##正常命令操作记录会在终端关闭结束工作后才会写入到history文件中,该处参数可实现实时写入

if [ ! -d $logdir ];then
    mkdir -p $logdir
    chmod 777 $logdir
fi

if [ ! -d $userdir ];then
    mkdir -p $userdir
    chmod 300 $userdir
fi

shopt -s histappend   ##多个终端同时操作时,避免命令覆盖,采用追加方式

readonly HISTFILE		##设置这些环境变量只读
readonly HISTTIMEFORMAT
readonly HISTSIZE
readonly HISTFILESIZE
readonly PROMPT_COMMAND
readonly HISTCMD
readonly HISTCONTROL

2)对上述日志加特权进行限制,防止故意删除:

logdir=/opt/oplog
userdir=$(ls $logdir)
DT=`date +"%Y%m%d"`
for user in $userdir;do
    hisfile="$logdir/$user/history.$DT"
    if [ ! -f $hisfile ];then
        touch $hisfile
        chown $user:$user $hisfile
        chmod 300 $hisfile
        chattr +a $hisfile
    else
        lsattr $hisfile | awk '{ print $1 }' | grep -v "a" &> /dev/null && chmod 300 $hisfile && chattr +a $hisfile
    fi
    find . -type f -size 0 -mtime +1 -exec chattr -a {} \;  ##清除一天前的空日志
    find . -type f -size 0 -mtime +1 -exec rm -f {} \;
done

注:完成后,可编辑计划任务rontab -e,添加:*/1 * * * * /opt/shells/oplogcron.sh &> /dev/null;配置每分钟执行一下。

2、手动配置history记录实现

手动配置用户命令日志审计功能步骤如下:

1)创建用户审计文件存放目录和审计日志文件: mkdir -p /var/log/usermonitor/
2)创建用户审计日志文件:echo usermonitor >/var/log/usermonitor/usermonitor.log
3)将日志文件所有者赋予一个最低权限的用户:chown nobody:nobody /var/log/usermonitor/usermonitor.log
4)给该日志文件赋予所有人的写权限:chmod 002 /var/log/usermonitor/usermonitor.log
5)设置文件权限,使所有用户对该文件只有追加权限:chattr +a /var/log/usermonitor/usermonitor.log
6)编辑/etc/profile文件,添加如下脚本命令:
export HISTORY_FILE=/var/log/usermonitor/usermonitor.log
export PROMPT_COMMAND=‘{ date “+%y-%m-%d %T ##### $(who am i |awk “{print $1” “$2” “$5}”) #### $(whoami) #### KaTeX parse error: Expected '}', got 'EOF' at end of input: …d x cmd; echo "cmd”; })"; } >>$HISTORY_FILE’
7)使配置立即生效:source /etc/profile,完成之后,当审计时查看/var/log/usermonitor/usermonitor.log文件即可,它会记录登上服务器所有用户使用的命令。

3、配置将 rm 命令删除的文件放在回收站

以下将使用shell脚本来替换系统的rm命令,要求当删除一个文件或者目录时,都要做一个备份,然后再删除。

1》简单实现:

假设有一个大的分区/data/,每次删除文件或者目录之前,都要先在/data/下面创建一个隐藏目录,以日期/时间命名,比如/data/.20170327/,然后把所有删除的文件同步到该目录下面,可以使用rsync -R 把文件路径一同同步

#!/bin/bash
#name:
fileName=$1
now=`date +%Y%y%d`
dir=$(/data/$now)
read  -p "你确定删除这文件或者目录吗 $1 ? yes|no :" input
if [ $input == "yes" ] || [ $input == "y" ]; then
     # 判断目录是否存在
     if [ ! -d $dir ]; then
        mkdir /data/$now
    fi
    # rsync同步要删除的文件和目录
     rsync -aR $1/ /data/$now/$1/
     rm -rf $1
    
elif [ $input == "no" ] || [ $input == "n" ]; then
     # 选择no退出
     exit 0
else
     # 如果选择别的输入符,提示
     echo "只能输入yes或者no"
     exit 0
fi

2》复杂的实现:

不知道哪个分区有剩余空间,在删除之前先计算要删除的文件或者目录大小,然后对比系统的磁盘空间,如果够则按照上面的规则创建隐藏目录,并备份,如果没有足够空间,要提醒用户没有足够的空间备份并提示是否放弃备份,如果用户输入yes,则直接删除文件或者目录,如果输入no,则提示未删除,然后退出脚本。

#!/bin/bash
#name:南宫乘风,特此感谢
now=$(date +%Y%m%d)
#判断文件大写
f_size=$(du -sk $dir | awk '{print $1}')
#判断磁盘大小
disk_szie=$(df -k| grep -vi filesystem | awk '{print $4}'|sort -n|tail -n1)
#判断最大的目录在哪里
big_filesystem=$(df -k|grep -vi filesystem | sort -n -k4 | tail -n1 | awk '{print $NF}')
#判断文件大小和磁盘大小比较
if [ $f_size -lt $disk_szie ]; then
     # 输入选项,准备开始删除工作
     read  -p "你确定删除这文件或者目录吗 $1 ? yes|no :" input
    if [ $input == "yes" ] || [ $input == "y" ]; then
         # 判断存放目录是否存在
         if [ ! -d $big_filesystem/data/$now ]; then
             # 不存在新建目录
            mkdir -p $big_filesystem/data/$now
         fi
         rsync -aR $1 $big_filesystem/$now/
         rm -rf $1
    #判断输入no的情况
    elif [ $input == "no" ] || [ $input == "n"]; then
         exit 0
    else
       # 如果选择别的输入符,提示
        echo "只能输入yes或者no"  
    fi
    
else
     # 判断磁盘空间不足的情况
     echo "这磁盘没有足够的空间备份: $1."
     read -p "你还想删除"$1"吗? yes|no :" input
     if [ $input == "yes" ] || [ $input == "n" ]; then
          # body
          echo "$1将会在3秒后删除,将不会有备份"
          for i in `seq 1 5`; do echo -ne "."; sleep 1; done
          rm -rf $1

     elif [ $input == "no" ] || [ $input == "n" ]; then
          echo "将不会删除 $1."
          exit 0
     else
          # 如果选择别的输入符,提示
           echo "只能输入yes或者no"  
     fi
     
fi

3》手动配置实现rm删除到回收站

编辑用户环境变量文件:vi ~/.bashrc;注释#alias rm=‘rm -i’;添加如下内容

mkdir -p ~/.trash  #创立一个目录作为回收站,这里运用的是用户家目录下的.trash目录

alias rm=trash   #命令别名 rm改动为trash,经过将rm命令别名值trash来完成把rm改形成删除文件至回收站

alias r=trash

alias rl='ls ~/.trash' #  rl 命令显现回收站中的文件

alias ur=undelfile    # ur命令找回回收站中的文件

undelfile()      #这个函数的作用是找回回收站下的文件

{
mv -i ~/.trash/$@ ./		##$@ 都表示传递给函数或脚本的所有参数,$@代表all

}

trash()  #这个函数是将指定的文件挪动到指定的目录下,经过将rm命令别名为trash来完成把rm改形成删除文件至回收站

{
mv $@ ~/.trash/

}

cleartrash() #这个函数的作用是清空回收站目录下的一切文件

{
read -p "clear sure?[n]" confirm

[ $confirm == 'y' ] || [ $confirm == 'Y' ]  && /bin/rm -rf ~/.trash/*

}

4》手动配置实现rm -rf删除到回收站

a、创建回收站:mkdir ~/.trash &&chmod 777 .trash //生产环境尽量放在空间较大的分区下
b、重新定义rm命令:

# rm transform
function rm() {
    # 定期清理回收站,时间可调整
    now=$(date +%s)
    for s in $(ls --indicator-style=none $HOME/.trash/) ;do ##–indicator-style=方式 指定在每个项目名称后加上其指示符号<方式>:none (默认),classify (-F),file-type (-p),使用-p时在每个文件名后附上一个字符以说明改文件的类型。“*”:表示可执行的普通文件;“/”:表示目录;“@”:表示符号链接;“|”:表示FIFOs;“=”:表示套接字
        dir_name=${s//_/-}
        dir_time=$(date +%s -d $dir_name)
        # if big than one month then delete
        if [[ 0 -eq dir_time || $(($now - $dir_time)) -gt 2592000 ]] ;then  ##删除30天的文件
            echo "Trash " $dir_name " has Gone "
            /bin/rm $s -rf
        fi
    done
    # 重写rm命令,将文件mv到回收站下
    prefix=$(date +%Y_%m_%d)
    hour=$(date +%H)
    mkdir -p $HOME/.trash/$prefix/$hour
    if [[ -z $1 ]] ;then
            echo 'Missing Args'
        return
    fi
    echo "Attention " ${!#} "已删除移至回收站~"
    mv ${!#} $HOME/.trash/$prefix/$hour
}

执行source ~/.bashrc。使其立即生效。这样使用过rm -rf时,会提示,invalid option – ‘r’;上述请先在测试环境验证,禁止生产环境直接试用。

清空回收站可使用真正的 rm 命令:/bin/rm -rf ~/.trash/*

五、运维日志管理系统部署

参考:https://blog.51cto.com/shantu/1440029,组件:GlusterFS + lagstash + elasticsearch + kibana 3 + redis

六、linux日志审计工具audit

Linux auditd 工具可以将审计记录写入日志文件。包括记录系统调用和文件访问。管理员可以检查这些日志,确定是否存在安全漏洞。对此,不得不介绍下Linux 用户空间审计系统。

Linux用户空间审计系统:它是一种Linux自集成模块系统,由auditd、audispd、auditctl、autrace、ausearch和aureport等应用程序组成,借助Linux内核有用日志记录事件的能力,比如记录系统调用和文件访问。然后管理员可以评审这些日志,确定可能存在的安全漏洞,比如失败的登录尝试,或者用户对系统文件不成功的访问。这种功能统称为Linux用户空间审计系统,在Red Hat Enterprise Linux 5及其之后版本中已经直接可用。其中,审计后台auditd应用程序通过netlink机制从内核中接收审计消息,然后通过一个工作线程将审计消息写入到审计日志文件中,Linux的审核系统提供了一种记录系统安全信息的方法,为系统管理员在用户违反系统安全规则时提供及时的警告信息。内核其他线程通过内核审计API写入套接字缓冲区队列audit_skb_queue中,内核线程kauditd通过netlink机制将审计消息定向发送给用户控件的审计后台auditd的主线程,auditd主线程再通过事件队列将审计消息传给审计后台的写log文件线程,写入log文件。另一方面,审计后台还通过一个与套接字绑定的管道将审计消息发送给dispatcher应用程序。下图是Linux audit架构示意图 :

查日志 grep_查日志 grep


上图中实线代表数据流,虚线代表组件关之间的控制关系

查日志 grep_审计_02


上图中,左边框内是 Linux 内核中的几种系统调用(user, task, exit, exclude),右侧是相关的一系列应用程序(auditd、audispd、auditctl、autrace、ausearch 和 aureport 等)。Linux 内核中的几种系统调用有:

User :记录用户空间中产生的事件;它的作用是过滤消息的,内核传递给审计后台进程之前先查询它。
Task:跟踪应用程序的子进程(fork);当一个任务被创建时,也就是父进程通过 fork 和克隆创建子进程时记录该事件;
Exit:当一个系统调用结束时判断是否记录该调用;
Exclude:删除不合格事件;Exclude 是用来过滤消息的,也就是不想看到的消息可以在这里写规则进行过滤。

上图中可以看到 audit 是内核中的一个模块,内核的运行情况都会在 audit 中记录,当然这个记录的规则是由超级用户来设置的。内核的 audit 模块是由应用层的一个应用程序 auditd 来控制的。audit 产生的数据都会传送到 auditd 中,然后再由 auditd 进行其它操作。auditd.conf 是 auditd 的配置文件,确定 auditd 是如何启动的,日志文件放在哪里等等。audit.rules 是 audit 的规则文件,确定 audit 的日志中记录哪些操作。它通过一个对 audit 进行控制的应用程序 auditctl 进行操作。root 用户也可以直接调用 auditctl 进行操作。auditd 收到的数据后会有两个去处。默认的是将日志保存在 audit.log 文件中,默认路径 /var/log/audit/audit.log。另一个通过 audispd 将日志进行分发。

audit 和 syslog 日志系统的关系:

audit 主要用来记录安全信息,用于对系统安全事件的追溯;而 syslog 日志系统用来记录系统中的各种信息,如硬件警报和软件日志等。但是 syslog 属于应用层,没办法记录太多信息。audit 来记录内核信息,包括文件的读写,权限的改变等。

【组件说明】:

auditd :audit 守护进程负负责把内核产生的信息写入到硬盘上,这些信息是由应用程序和系统活动所触发产生的。audit守护进程如何启动取决于它的配置文件,/etc /sysconfig/auditd.audit系统函数的启动受文件/etc/audit/auditd.conf的控制。在用户空间审计系统通过auditd后台进程接收内核审计系统传送来的审计信息,将信息写入到/var/log/audit/audit.log 中,audit.log的路径可在/etc/auditd.conf 中指定。当auditd没有运行时,内核将审计信息传送给 syslog,这些消息通常保存在/var/log/messages文件中,可以用dmesg命令查看。

auditctl:auditctl功能用来控制audit系统,它控制着生成日志的各种变量,以及内核审计的各种接口,还有决定跟踪哪些事件的规则。

audit.rules:在/etc/audit/audit.rules中包含了一连串auditctl命令,这些命令在audit系统被启用的时候被立即加载。

aureport:aureport的功能是能够从审计日志里面提取并产生一个个性化的报告,这些日志报告很容易被脚本化,并能应用于各种应用程序之中,如去描述结果。

ausearch : ausearch用于查询审计后台的日志,它能基于不同搜索规则的事件查询审计后台日志。每个系统调用进入内核空间运行时有个唯一的事件id,系统调用在进入内核后的运行过程的审计事件共享这个id.

audispd:audispd是消息分发的后台进程,用于将auditd后台发过来的一些消息通过syslog写入日志系统。这是一个审计调度进程,它可以为将审计的信息转发给其它应用程序,而不是只能将审计日志写入硬盘上的审计日志文件之中。

autrace这个功能更总类似于strace,跟踪某一个进程,并将跟踪的结果写入日志文件之中。

要使用安全审计系统可采用下面的步骤:

● 安装软件包:#yum install audit*.* -y

● 了解配置文件:audit 安装后会生成 2 个配置文件: /etc/audit/auditd.conf 和/etc/audit/audit.rules 。
/etc/audit/auditd.conf 是守护程序的默认配置文件。/etc/audit/audit.rules 是记录审计规则的文件。首次安装 audit 后, 审计规则文件是空的。而/etc/audit/auditd.conf 守护程序的默认配置文件是 Linux 安全审计系统最关键文件。/etc/audit/auditd.conf 文件包括如下几个部分:一般先设置 auditd 的日志文件,然后设置是否循环使用日志文件,配置日志文件大小和报警信息,设置审计规则信息和目录观察器。一下是centos7下的/etc/audit/auditd.conf示例:

log_file = /var/log/audit/audit.log			## 设置日志文件的路径

num_logs = 5			#设置日志文件轮询的数目,它是 0~99 之间的数。如果设置为小于 2,则不会循环日志。如果没有设置 num_logs 值,它就默认为 0,意味着从来不循环日志文件

tcp_listen_port =60		##置监听端口为 60
        
name_format = NONE		#设置日志文件是否使用主机名称,一般选 NONE
        
max_log_file = 6		#设置日志文件大小,以兆字节表示的最大日志文件容量。当达到这个容量时,会执行 max_log_file _action 指定的动作
        
max_log_file_action = ROTATE		#设置日志文件到达最大值后的动作,这里选择 ROTATE(轮询)

● 了解配置命令,配置审计守护进程。

命令格式:auditctl [选项] filter,action -S syscall -F condition -k label,其中:

-S 表示系统调用号或名字

-F 表示规则域。

-k 表示设置审计规则上的过滤关键

命令选项:

查日志 grep_查日志 grep_03

● 添加审计规则和观察器来收集所需的数据

1)audit 审计规则分成三个部分:

控制规则:这些规则用于更改审计系统本身的配置和设置。在/etc/audit/audit.rules 中设置。主要包括:

-D #删除所有当前装载的审核规则#

-b 8192 #在内核中设定最大数量的已存在的审核缓冲区为 8Mb#

-e 2 #锁定审核配置#

文件系统规则:这些是文件或目录监视。 使用这些规则,我们可以审核对特定文件或目录的任何类型的访问。通过 auditctl 命令设置。监控文件系统行为(依靠文件、目录的权限属性来识别),规则格式:

-w 路径

-p 权限,其动作分为四种:rwxa,其中a表改变在文件或者目录中的属性。

-k 关键字

eg1:auditctl -w /etc/passwd -p wa //监控/etc/passwd 文件的修改行为,也可将命令加入到文件/etc/audit/rules.d/audit.rules 中来实现

eg2:auditctl -w /etc/hosts -p wa -k hosts_change //记录了每次读取或者修改/etc/hosts 文件的尝试

系统调用规则:这些规则用于监视由任何进程或特定用户进行的系统调用。监控系统调用可能会引起高负荷的日志活动,这会让内核承受更大的负荷。所以要慎重衡量哪些系统调用需要放到 audit.rules 中。如果审计的是目录的话,只能对该目录本身的属性进行审计。如果想审计下面的文件,需要一一列出。参数有:

-a 添加一条系统调用监控规则

-S 显示需要监测的系统调用的名称

-D 删除所有规则

-d 删除一条规则和-a 对应

-w 写入文件或者目录。

-W 删除一条规则和-w 对应

-l 列出所有规则

eg1:auditctl -a always,exit -F arch=b64 -F auid=10001 -S open -k userfile //记录有哪些文件呗特定用户(UID 为 10001)访问,userfile 假设就是用户自己设置的一个规则名字

注:通过 auditctl 命令添加的规则不是永久有效的。 为了让他们在重新启动后有效的,可以将其添加到文件
/etc/audit/rules.d/audit.rules 中。

● 启用了内核中的audit守护进程并开始进行日志记录

1)启动:service auditd start &&systemctl enable auditd
重启:service auditd restart
重新加载:service auditd reload 或者 service auditd force-reload 命令用来重新加载 auditd 在/etc/audit/auditd.conf 文件中的配置。
轮转日志:service auditd rotate 命令在/var/log/audit/目录中轮转日志文件。
service auditd resume 命令在推迟审核事件日志之后重新开始,例如存在没有足够的磁盘分区空间来保存审核日志文件情况。service auditd status 命令显示运行状态。
验证规则,应以root身份执行 auditctl -l 命令列出所有活动的规则和观察器。

2)audit客户端安装
yum -y install audispd-plugins
vi /etc/audisp/plugins.d/au-remote.conf //编辑配置把审核日志发送到远程日志服务器

● 通过生成审计报表和搜索日志来周期性地分析数据

更多参考:

https://www.ibm.com/developerworks/cn/linux/l-lo-use-space-audit-tool/index.html

http://www.voidcn.com/article/p-csbhmtzq-st.html

Linux 审核系统项目页 :http://people.redhat.com/sgrubb/audit/。

Linux Audit Quick Start SUSE Linux Enterprise 11 SP1 http://www.suse.com/documentation/sled11/pdfdoc/sled11_auditquickstart/sled11_auditquickstart.pdf

红帽企业版 Linux 7 安全性指南 :https://access.redhat.com/documentation/zh-CN/Red_Hat_Enterprise_Linux/7/pdf/Security_Guide/Red_Hat_Enterprise_Linux-7-Security_Guide-zh-CN.pdf

七、自动安全审计工具Lynis

Lynis是一款轻量级的免费开源的服务器审计工具,它能在Unix/Linux等操作系统的完成安全审计,它不会破坏系统,也不会影响Linux系统上的任何应用程序或服务,可以发现基于Linux系统中的恶意软件和安全漏洞,它能够进行深层次的安全扫描,其目的是检测潜在的时间并对未来的系统加固提供建议。这款软件会扫描一般系统信息,脆弱软件包以及潜在的错误配置.。Lynis一旦审计完成,会生成一个报告,我们可以审查结果、警告和建议,然后我们可以根据它实现我们的安全策略。日志默认保存在/var/log/lynis.log;报告默认保存在/var/log/lynis-report.dat;

查日志 grep_安全_04


官网文档:更多单击查看;

产品特征:

漏洞扫描
系统加固
入侵检测
中心管理
自定义行为规划
报告
安全面板
持续监测
技术支持

目标:

自动安全审计
符合性测试
漏洞侦测

有助于:

配置管理
软件补丁管理
系统加固
渗透测试
恶意软件扫描
入侵检测

1)安装

mkdir /usr/local/lynis
cd /usr/local/lynis/
wget https://downloads.cisofy.com/lynis/lynis-3.0.0.tar.gz
tar xvf lynis-3.0.0.tar.gz
curl https://cisofy.com/files/lynis-3.0.0.tar.gz -o lynis.tar.gz
#或通过epel源yum安装
yum install epel-release 
yum update ca-certificates curl nss openssl
yum --enablerepo=epel -y install lynis
#或手动编辑repo源
vi /etc/yum.repos.d/cisofy-lynis.repo
[lynis]
name=CISOfy Software - Lynis package
baseurl=https://packages.cisofy.com/community/lynis/rpm/
enabled=1
gpgkey=https://packages.cisofy.com/keys/cisofy-software-rpms-public.key
gpgcheck=1
priority=2

yum makecache fast
yum install -y lynis
#验证
lynis  --version

2)软件使用

lynis 输入后参数如下

查日志 grep_linux_05

#使用‘audit system’参数来扫描整个系统,对整个系统的审计
./lynis audit system  #需要输入回车才能往下执行,使用-c和-Q选项跳过用户输入
./lynis audit system --wait #等待用户按回车键显示下一节的报告
#按类别审计,列出扫描组
./lynis show groups
./lynis show commands  #显示可用的Lynis命令
./lynis show profiles  #显示发现的配置文件
./lynis show settings  #列出配置文件中的所有活动设置
./lynis show version   #显示当前的Lynis版本
#对"kernel"和"firewalls"进行简单的审计
./lynis --tests-from-group "kernel firewalls"

lynis --check-all

3)自动审计

#每天晚上10:30会执行扫描automated,并把输出的信息保存到/var/log/lynis.log日志文件中
30 22 * * * /usr/bin/lynis -c --auditor "automated" --cronjob > /var/log/lynis/report.txt