使用aureport分析入侵行为

原创 已于 2025-04-15 11:56:19 修改 · 1k 阅读 · 27
标签
#网络 #auditd #linux #日志审计 #安全
#取证 #溯源
于 2025-04-15 11:53:15 首次发布

如果黑客入侵了你的系统,如何分析他是如何入侵的呢?

在Linux中,我们可以通过分析auditd审计系统记录的日志,从而来初步分析黑客的入侵痕迹

auditd审计系统

概述

auditd是liunx内核的审计子系统,负责记录系统级事件(如文件访问、用户登录、命令执行等)

审计日志默认存储在/var/log/audit/中,内容为结构化的纯文本格式,每条记录由多个 key=value 字段组成,直接阅读比较困难,需要解析

核心组件

  • auditd 守护进程:后台运行,负责收集和存储审计日志(默认路径 /var/log/audit/
  • auditctl:配置工具,用于定义审计规则(如监控文件访问或系统调用)
  • ausearch & aureport:分析工具,前者搜索日志,后者生成统计报告
  • audispd:扩展插件,支持将日志转发到其他程序处理

在这里我们为了分析入侵行为,可以使用ausearch & aureport工具

  • aureport的统计性更强,能比较直观地了解
  • ausearch也可以使用,因为是搜索日志中的相关信息,显示的内容更加详细

这里我们主要关注aureport工具

aureport

aureport的作用是将原始日志转换为可读性强的汇总报告

常用命令
最低0.47元/天 解锁文章
linux审计工具aureport
u010674101的专栏
12-01 1413
审计日志是一个记录了系统活动、安全事件和资源访问的详细信息的日志文件。它可以帮助管理员监视和追踪系统上发生的各种活动,包括用户登录、文件访问、进程创建、权限更改等。命令提供了一种以可读格式显示审计日志的方式,并提供了丰富的过滤和报告选项,以便根据不同的需求进行分析。是一个用于查看和分析Linux操作系统中的审计日志的命令行工具。命令通常需要管理员权限才能访问和分析审计日志。来获取更多关于该命令的详细信息和用法说明。命令的一些常见用法,你可以通过运行。
Linux系统之aureport命令详解
weixin_56303229的博客
03-08 686
aureportLinux 审计系统中的一个命令行工具,用于生成关于审计日志的报告。它可以从审计日志文件中提取信息,并以结构化的方式展示出来,便于管理员分析系统的安全状态和活动情况。通过 aureport,可以方便地查看不同类型的审计事件,如登录尝试、文件访问、权限更改等。
CentOS7日志审计
ezbuy的博客
07-16 1万+
写在前面的话: 最近公司在做等保,其中有审计的内容,因为第一次接触,所以在此粘贴在网上查找的各种资料,以作记录. 目录 一、用户空间审计系统简介 二、auditd配置文件 三、配置审计规则 四、审计日志内容 五、使用ausearch搜索审计日志 六、使用aureport查看审计报告 一、用户空间审计系统简介 Linux 内核有用日志记录事件的能力,包括记录系统调用和文件访问。管理...
aureport命令中ts及te的正确使用方法
狂客队长
12-27 1065
aureport auditd
CentOS7 - 审计日志
三朝看客
09-20 4622
1、auditctl : 即时控制审计守护进程的行为的工具,比如如添加规则等等。 audtitctl -l #查看规则 auditctl -D #清空规则 2、aureport : 查看和生成审计报告的工具。 aureport -l #生成登录审计报告 3、ausearch : 查找审计事件的工具 ausearch -i -p 4096 4、autrace : 一个用于跟踪进程的命令。 autra...
Linux审计日志分析指南:用aureport快速生成用户操作报告
juice的博客
02-12 504
本文深入解析Linux审计日志分析工具aureport使用方法,帮助用户快速生成结构化报告以监控系统安全。通过实战案例展示如何追踪敏感文件变更、分析权限提升行为,并提供企业级审计策略配置建议,提升Linux系统安全防护能力。
服务器安全篇之五【入侵检测】
huangfujin321的博客
09-17 839
服务器安全篇之五【入侵检测】 设计者:普金 服务器安全全篇含: 服务器安全篇之一【网络安全】 服务器安全篇之二【ssh安全】 服务器安全篇之三【系统安全】 服务器安全篇之四【数据库灾备与恢复】 服务器安全篇之五【入侵检测】 服务器安全篇之六【入侵处理】   一 摘要 前面讲了防御与安全,但是俗话说,没有钻不透的钢板,没有攻不破的城墙,放在我们IT行业同样适用,没有攻不破的网络,没有绝对的信息安全。...
Linux服务器被黑了怎么办?用auditdaureport快速生成入侵事件分析报告
weixin_28725553的博客
05-11 141
本文详细介绍了在Linux服务器遭受入侵时,如何利用auditdaureport工具快速生成入侵事件分析报告。通过建立调查时间线、四维入侵痕迹定位法及实战案例分析,帮助安全运维人员高效应对安全威胁,提升应急响应能力。
Linux安全事件调查实录:我是如何用auditd+aureport揪出那个‘内鬼’进程的
最新发布
weixin_30268071的博客
05-26 717
本文详细记录了如何利用Linuxauditdaureport工具调查安全事件,从异常流量追踪到恶意进程的全过程。通过配置auditd监控关键系统调用,生成时间线报告,并结合ausearch进行深度分析,最终成功定位并清除内鬼进程。文章还提供了应急响应和系统加固的实用建议,帮助运维人员提升Linux服务器安全防护能力。
Linux安全auditd审计工具使用说明
月生的静心苑
11-28 1万+
audit 我们可以使用auditctl临时配置规则,服务重启失效,如果需要配置永久生效,我们需要将规则写入到配置文件中。auditd审计规则分成三个部分,控制规则:这些规则用于更改审计系统本身的配置和设置。文件系统规则:这些是文件或目录监视。使用这些规则,我们可以审核对特定文件或目录的任何类型的访问。系统调用规则:这些规则用于监视由任何进程或特定用户进行的系统调用。使用 ausearch ,您可以过滤和搜索事件类型。它还可以通过将数值转换为更加直观的值(如系统调用或用户名)来解释事件。
audit审计超详细介绍,常见审计规则示例,与syslog、secure对比
ayychiguoguo的博客
07-25 5599
Audit(审计)在Linux系统中,特别是CentOS中,是一个用于监控和记录系统上各种操作的技术手段。Audit的主要功能是为系统管理员提供一个跟踪系统上与安全相关信息的方法。根据预配置的规则,Audit会生成日志条目,以尽可能多地记录系统上所发生的事件的相关信息。① Audit主要由以下几个部分组成:auditd:Audit守护进程负责把内核产生的信息写入到硬盘上,这些信息由应用程序和系统活动触发产生。
Linux系统之audit
bingshanzhu的专栏
04-29 2281
Linux 提供了用来记录系统安全信息的审计系统,使用 audit 系统可以在应用程序执行期间获取比如发生错误的时间,哪个文件导致错误以及原因,什么进程导致了错误等等信息。 用户空间审计系统 Linux内核拥有包括记录系统调用和文件访问等的日志记录事件的能力,管理员可以检查这些日志,确定是否存在安全漏洞,比如多次失败的登录尝试,或者用户对系统文件不成功的访问等。 1、Linux 内核中的几种系统调...
linux audit (9)--生成audit报表
weixin_30686845的博客
04-18 228
aureport这个命令可以生成一个总结性的柱状图报表,默认情况下,在/var/log/audit目录下的所有日志文件都会生成一个报表,也可以使用如下命令来指定一个不同的文件,aureportoptions-iffile_name。 1、按照时间来生成报告: ~]# aureport --start 04/08/2013 00:00:00 --end 04/11/2013 00:00...
Linux中audit日志使用方法
热门推荐
Han的小站
02-27 6万+
auditd服务的安装: 以CentOS6.5为例,使用下面的方法确认auditd服务的安装情况: yumlist audit audit-libs 确认以下两个package是否安装: audit.x86_64
Linux 审计日志安全工具 ausearch 与 aureport审计日志查询与报告
02-18 1562
Linux 系统的安全管理中,审计日志扮演着至关重要的角色。通过审计日志,管理员可以追踪系统中的重要活动,确保系统的安全性和合规性。而在 Linux 审计框架(Audit Framework)中,`ausearch` 和 `aureport` 是两个非常强大的工具,分别用于查询审计日志和生成审计报告。本文将详细介绍这两个工具的功能与用法,帮助您更有效地管理和分析 Linux 审计日志
Linux 系统管理和监控命令---- auditctl命令
weixin_46356409的博客
11-13 2779
auditctl是一个强大的工具,用于配置和管理 Linux 审计系统的规则。通过使用auditctl,可以监视文件和目录的访问、系统调用以及其他重要的系统事件。结合ausearch和aureport,可以有效地查询和报告审计日志,帮助管理员进行安全审计和合规性检查。
Linux audit log分析工具---aureport、ausearch、autrace
weixin_30420305的博客
06-28 1605
一、概述 上一篇(理解Linux Audit Service.)我们主要解析了audit服务的结构,audit服务的配置以及如何阅读audit log各项所代表的意思。这一篇我们主要介绍如何利用audit提供的三个工具aureport、ausearch、autrace有针对性地去统计分析以及跟踪log日志。 二、aureport RAW类型的audit log会存放在/var...
Auditd - Linux 服务器安全审计工具
闲云孤鹤
02-20 4608
首先,Linux中国祝贺读者 2015羊年春节快乐,万事如意! 。下面开始这个新年版审计工具的介绍。 安全防护是首先要考虑的问题。为了避免别人盗取我们的数据,我们需要时刻关注它。安全防护包括很多东西,审计是其中之一。 我们知道Linux系统上有一个叫 auditd 的审计工具。这个工具在大多数Linux操作系统中是默认安装的。那么auditd 是什么?该如何使用呢?下面我们开始介绍。
Linux auditd主机系统安全审计服务配置技术方案
watermelonbig的专栏
04-13 1万+
Auditd是什么 AuditdLinux审计系统的用户空间组件。AuditdLinux审计守护进程的缩写。在Linux中,daemon被称为后台运行服务,当它在后台运行时,应用程序服务的末尾附加了一个“d”。auditd的工作是作为后台服务收集审计日志文件并将其写入磁盘。 审计系统由两个主要部分组成:用户空间应用程序和实用程序,以及内核端系统调用处理。内核组件接收来自用户空间应用程序的系统调用,并通过以下过滤器之一对其进行过滤:user、task、fstype或exit。 一旦系统调用通过了excl
Linux aureport 命令
weixin_42098295的博客
12-09 282
Linux命令是对Linux系统进行管理的命令。对于Linux系统来说,无论是中央处理器、内存、磁盘驱动器、键盘、鼠标,还是用户等都是文件,Linux系统管理的命令是它正常运行的核心,与之前的DOS命令类似。linux命令在系统中有两种类型:内置Shell命令和Linux命令。本文主要介绍Linux aureport 命令。 原文地址:Linux aureport 命令 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Neolock

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值