📜  ubuntu auditd 按规则显示进程活动 - Shell-Bash (1)

📅  最后修改于: 2023-12-03 15:35:25.065000             🧑  作者: Mango

Ubuntu的Auditd工具可以按规则显示进程活动

如果你需要监视Ubuntu系统中的进程活动,Auditd工具非常有用。你可以使用它对指定的进程、系统调用和文件访问等活动进行审计。本文将为您介绍如何在Ubuntu系统中使用Auditd按规则显示进程活动。

安装Auditd

要使用Auditd工具,您需要先安装它。在Ubuntu系统中,您可以使用以下命令来安装:

sudo apt-get install auditd
编辑Audit规则

安装完Auditd后,您需要配置一些规则来审计进程活动。您可以通过编辑/etc/audit/audit.rules文件来添加规则,该文件包含默认的规则。

例如,以下规则将审计所有进程的启动和终止:

-a always,exit -F arch=b64 -S execve -k process_start
-a always,exit -F arch=b32 -S execve -k process_start
-a always,exit -F arch=b64 -S exit_group -k process_stop
-a always,exit -F arch=b32 -S exit_group -k process_stop

在这个例子中,每当一个进程启动或终止时,Auditd将记录该事件。 -a选项指定事件的触发方式。always指示该规则总是适用,无论进程是否成功启动或终止。-F选项允许您指定用于匹配特定事件的过滤器。

启动Auditd

在编辑规则后,您需要启动Auditd才能开始审计进程活动。您可以使用以下命令启动它:

sudo service auditd start
查看审计日志

通过执行以下命令,您会看到Auditd工具记录的事件日志:

sudo ausearch -k process_start

该命令将显示与规则匹配的进程启动事件。您可以使用不同的过滤器查看其他类型的活动。

以上就是关于如何在Ubuntu系统中使用Auditd按规则显示进程活动的介绍。您可以自己添加规则来审计您想要监视的进程和系统调用。