Linux自带的审计功能

Linux自带的script命令，可以记录终端的输出，用来完成简单的审计功能

这样用户登陆后执行的 *** 作都会记录到/mnt/log/script/*.log（目录自己根据服务器目录定义）里，这里把用户ID 大于1000的都记录下 *** 作。

云主机无法ssh及ping通，端口开启。VNC中有大量“backlog limit exceeded”的提示

audit:backlog limit exceeded

audit:audit_backlog=321 >audit_backlog_limit=320

根具提示“audit_backlog=321 >audit_backlog_limit=320”，本问题锁定在，audit服务在繁忙的系统中进行审计事件 *** 作，缓冲瓶颈！

# less/var/log/audit/audit.log

Dec 15 03:24:46 saslauthd[5892]: do_auth         : auth failure: [ user=test@cto.com ] [service=smtp] [realm=cto.com] [mech=pam] [reason=PAM autherror]

Dec 15 03:25:15 saslauthd[5890]: do_auth         : auth failure: [ user=test@cto.com ] [service=smtp] [realm=cto.com] [mech=pam] [reason=PAM autherror]

Dec 15 03:25:45 saslauthd[5889]: do_auth         : auth failure: [ user=test@cto.com ] [service=smtp] [realm=cto.com] [mech=pam] [reason=PAM autherror]

# dmesg |grep -i error

i8042: probe of i8042 failed with error -5

Linux 2.6内核有用日志记录事件的能力，比如记录系统调用和文件访问。然后，管理员可以评审这些日志，确定可能存在的安全裂口，比如失败的登录尝试，或者 用户对系统文件不成功的访问。这种功能称为Linux审计系统。Redhat 5.x版本中已经可用。配置文件/etc/audit/auditd.conf 记录了日志位置、磁盘空间等配置信息，当出现问题，优先排查配置参数是否存在性能瓶颈！然后在通过排查安全情况。

修改audit缓冲区大小参数，默认为64：

[root@ www.ctohome.com]# auditctl -b 8192

AUDIT_STATUS: enabled=1 flag=1 pid=6118 rate_limit=0 backlog_limit=8192 lost=0 backlog=1

其他：

启动audit：

检查进程：# ps -ef | grep audit*

启动audit：# auditd

开启关闭

Enable/disable：# auditctl -e 0/1

进程异常了，一般得重新启动系统。

所有的安全保密服务功能、网络中的所有层次都与审计跟踪系统有关。审计机制在Linux系统开机后会自动开启，处于审计状态，记录应该记录的内容。

Linux审计系统提供了一种跟踪系统上与安全相关的信息的方法，根据预先配置的规则，Audit会生成日志条目，以尽可能多地记录有关系统上发生的事件的信息。

---