linux *** 作系统怎么开启日志审计功能

对于Linux *** 作审计，当前主要有两种形式。

一种是，通过收取linux *** 作系统上的日志，来进行审计。优点是全面，内容是零散，缺乏直观性，一般需要专业的软件来收集和呈现，同时由于容易被删除，可能导致关键审计信息缺失问题，以及由于共享账号问题，导致无法定位到人。

另一种是，通过碉堡堡垒机软件来实现审计。优点是全面直观，可以关联到人，确定是只能对远程运维 *** 作进行审计，无法对直接登录 *** 作进行审计。

Linux 主机审计

Linux *** 作系统可以通过设置日志文件可以对每个用户的每一条命令进行纪录，不过这一功能默认是没有打开的。

开启这个功能的过程：

# touch /var/log/pacct

# action /var/log/pact

也可以用自已的文件来代替/var/log/pacct这个文件。但必须路径和文件名的正确。

sa命令与 ac 命令一样，sa 是一个统计命令。该命令可以获得每个用户或每个命令的进程使用的大致情况，并且提供了系统资源的消费信息。在很大程度上，sa 又是一个记帐命令，对于识别特殊用户，特别是已知特殊用户使用的可疑命令十分有用。另外，由于信息量很大,需要处理脚本或程序筛选这些信息。

lastcomm命令, 与 sa 命令不同，lastcomm 命令提供每一个命令的输出结果，同时打印出与执行每个命令有关的时间印戳。就这一点而说，lastcomm 比 sa 更有安全性。如果系统被入侵，请不要相信在 lastlog、utmp、wtm中记录的信息，但也不要忽略，因为这些信息可能被修改过了。另外有可能有人替换了who程序来掩人耳目。通常，在已经识别某些可疑活动后，进程记帐可以有效的发挥作用。使用 lastcomm 可以隔绝用户活动或在特定时间执行命令。

3、使用logrorate对审计文件管理

/var/log/utmp，/var/log/wtmp和/var/log/pacct文件都是动态的数据文件。wtmp和pacct文件是在文件尾部不断地增加记录。在繁忙的网络上，这些文件会变得很大。Linux提供了一个叫logrotate的程序，它允许管理员对这些文件进行管理。

Logrotate读取/etc/logrotate.d目录下的文件。管理员通过该目录下的脚本文件，控制logrotate程序的运作。一个典型的脚本文件如下：

{

rotate 5

weekly

errors root@serve1r

mail root@server1

copytruncate

compress

size 100k

}

脚本文件的含义如下：

● rotate 5——保留该文件一份当前的备份和5份旧的备份。

● weekly——每周处理文件一次，通常是一周的第一天。

● errors——向邮件地址发送错误报告。

● mail——向邮件地址发送相关的信息。

● copytruncate——允许进程持续地记录，备份文件创建后，把活动的日志文件清空。

● compress——使用gzip工具对旧的日志文件进行压缩。

● size 100k——当文件超过100k 时自动处理。

---