ibse Asked: 2024-06-11 16:53:05 +0800 CST2024-06-11 16:53:05 +0800 CST 2024-06-11 16:53:05 +0800 CST 审计服务不审计命令 772 OS sles 15,已启用审计服务 当我发出任何命令(例如,date 或 ls)时,我希望它被记录在 audit.log 中,如下所示: 类型=SYSCALL 消息=审计... 类型 = EXECVE msg = audit(1718094805.867:24632): argc = 1 a0 =“日期” ... 但这些条目不在 audit.log 中 那里还有其他条目,例如有关会话的开始/结束的条目,但没有调用任何命令。 linux-audit 1 个回答 Voted Best Answer ron 2024-06-11T21:01:21+08:002024-06-11T21:01:21+08:00 https://lowendbox.com/blog/how-to-audit-every-command-run-on-your-linux-system/ 基本上这样做是为了把这条规则放到你的 /etc/audit/rules.d/audit.rules文件中 auditctl -a exit,always -F arch=b32 -S execve -k allcmds auditctl -a exit,always -F arch=b64 -S execve -k allcmds 请注意,该/var/log/audit/audit.log文件可能会在几分钟内增长到数 GB,并填满该文件夹所在的任何磁盘分区。 我相信这将捕获正在运行的系统上的每条命令,包括所有底层内容。如果您希望特定用户执行的每条命令,那么就需要定制规则以过滤特定命令,uid=例如 auditctl -a exit,always -F arch=b32 -F uid=1234 -S execve -k allcmds 或者 auditctl -a exit,always -F arch=b32 -F uid >=1000 -S execve -k allcmds
https://lowendbox.com/blog/how-to-audit-every-command-run-on-your-linux-system/
基本上这样做是为了把这条规则放到你的
/etc/audit/rules.d/audit.rules文件中请注意,该
/var/log/audit/audit.log文件可能会在几分钟内增长到数 GB,并填满该文件夹所在的任何磁盘分区。我相信这将捕获正在运行的系统上的每条命令,包括所有底层内容。如果您希望特定用户执行的每条命令,那么就需要定制规则以过滤特定命令,
uid=例如或者