如何在Linux中进程审计 Linux audit进程跟踪

Linux审计系统核心是通过内核级auditd服务监控系统调用与文件访问，利用auditctl定义规则，记录关键事件至/var/log/audit/audit.log，实现进程启动、文件操作等行为的细粒度追踪与分析。

在Linux中进行进程审计和跟踪，核心在于利用Linux自带的

auditd

auditctl

解决方案

要开始在Linux中审计进程，你需要做的是安装并配置

auditd

auditctl

1. 安装

   auditd

   登录后复制
   ： 在大多数基于RPM的系统（如CentOS, Fedora, RHEL）上：

   sudo yum install audit -y
   # 或者对于较新的系统
   sudo dnf install audit -y

   登录后复制

   在基于Debian的系统（如Ubuntu, Debian）上：

   sudo apt update
   sudo apt install auditd audispd-plugins -y

   登录后复制

2. 启动并启用

   auditd

   登录后复制
   服务：

   sudo systemctl enable auditd
   sudo systemctl start auditd

   登录后复制

   确认服务状态：

   sudo systemctl status auditd

   登录后复制

3. 配置审计规则： 这是核心部分。你可以使用

   auditctl

   登录后复制
   命令实时添加规则，但为了持久化，通常会编辑

   auditd

   登录后复制
   的规则文件（通常是

   /etc/audit/audit.rules

   登录后复制
   或

   /etc/audit/rules.d/

   登录后复制
   下的文件）。

   清空现有规则（谨慎操作，这会移除所有当前加载的规则）：

   sudo auditctl -D

   登录后复制

   添加基本审计规则示例：

   • 监控所有可执行程序的启动：

     sudo auditctl -a always,exit -F arch=b64 -S execve -k process_exec
     sudo auditctl -a always,exit -F arch=b32 -S execve -k process_exec

     登录后复制

     这里，

     -a always,exit

     登录后复制
     表示在系统调用退出时始终生成审计事件。

     -F arch=b64

     登录后复制
     和

     -F arch=b32

     登录后复制
     分别指定64位和32位架构，因为

     execve

     登录后复制
     系统调用可能因架构而异。

     -S execve

     登录后复制
     指定要审计的系统调用。

     -k process_exec

     登录后复制
     是一个自定义的键值，方便后续搜索。

   • 监控特定文件或目录的访问（读、写、执行、属性更改）：

     sudo auditctl -w /etc/passwd -p rwxa -k passwd_access
     sudo auditctl -w /var/log/myapp/ -p rwxa -k myapp_log_changes

     登录后复制

     -w /path/to/file_or_dir

     登录后复制
     指定要监控的文件或目录。

     -p rwxa

     登录后复制
     指定权限：

     r

     登录后复制
     (读),

     w

     登录后复制
     (写),

     x

     登录后复制
     (执行),

     a

     登录后复制
     (属性更改)。

   • 监控特定用户执行的操作：

     sudo auditctl -a always,exit -F arch=b64 -S open,creat,truncate,ftruncate,unlink,unlinkat -F auid=1001 -k user_file_ops

     登录后复制

     -F auid=1001

     登录后复制
     过滤用户ID为1001的操作。

   保存规则： 将上述

   auditctl

   登录后复制
   命令添加到

   /etc/audit/rules.d/99-custom.rules

   登录后复制
   （或类似名称）文件中。确保文件以

   .rules

   登录后复制
   结尾，并且

   auditd

   登录后复制
   服务会加载它。

   # /etc/audit/rules.d/99-custom.rules
   -D # 清除所有规则，确保从头开始
   -a always,exit -F arch=b64 -S execve -k process_exec
   -a always,exit -F arch=b32 -S execve -k process_exec
   -w /etc/passwd -p rwxa -k passwd_access
   -w /var/log/myapp/ -p rwxa -k myapp_log_changes
   -a always,exit -F arch=b64 -S open,creat,truncate,ftruncate,unlink,unlinkat -F auid=1001 -k user_file_ops
   # 确保在文件末尾添加以下行，以使规则持久化并在系统重启后生效
   -e 2

   登录后复制

   然后重启

   auditd

   登录后复制
   服务使规则生效：

   sudo systemctl restart auditd

   登录后复制

4. 查看和分析审计日志： 审计日志通常存储在

   /var/log/audit/audit.log

   登录后复制
   文件中。你可以使用

   ausearch

   登录后复制
   和

   autrace

   登录后复制
   工具来查询和分析这些日志。

   • 使用

     ausearch

     登录后复制
     按键值搜索：

     sudo ausearch -k process_exec
     sudo ausearch -k passwd_access
     sudo ausearch -k user_file_ops --start today

     登录后复制

     --start today

     登录后复制
     可以指定搜索的起始时间。

   • 使用

     ausearch

     登录后复制
     按类型、用户或时间搜索：

     sudo ausearch -m SYSCALL -sv yes # 搜索所有成功的系统调用事件
     sudo ausearch -auid 1001 # 搜索特定用户ID的操作
     sudo ausearch -ts 08/01/2023 00:00:00 -te 08/01/2023 23:59:59 # 搜索特定时间范围内的事件

     登录后复制

   • 使用

     autrace

     登录后复制
     跟踪单个进程：

     autrace

     登录后复制
     可以用来跟踪一个新启动的进程及其所有子进程的系统调用。

     sudo autrace -r /bin/ls -l /tmp

     登录后复制

     这会生成一个详细的审计报告，显示

     ls

     登录后复制
     命令执行期间的所有相关系统调用。

Linux审计系统（auditd）的核心原理是什么？

Linux审计系统，也就是我们常说的

auditd

如果事件符合某个审计规则，内核就会生成一个审计记录。这些记录不会直接写入文件，而是先发送给一个用户空间的守护进程——

auditd

auditd

/var/log/audit/audit.log

这个过程中，最关键的在于它的事件驱动和规则引擎。所有的审计都是基于系统调用（syscalls）的，这是操作系统与应用程序交互的底层接口。通过监控这些系统调用，

auditd

对我来说，

auditd

如何配置auditd规则以跟踪特定进程的启动和文件访问？

配置

auditd

1. 跟踪特定进程的启动：

要跟踪进程启动，我们主要关注

execve

• 跟踪所有可执行程序的启动：

  sudo auditctl -a always,exit -F arch=b64 -S execve -k program_execution
  sudo auditctl -a always,exit -F arch=b32 -S execve -k program_execution

  登录后复制

  这里我用了

  program_execution

  登录后复制
  作为键值。这会记录所有尝试执行新程序的事件，无论成功与否。

• 跟踪特定路径下程序的启动： 如果你只想关注

  /usr/local/bin/

  登录后复制
  下的程序启动，可以这样：

  sudo auditctl -a always,exit -F arch=b64 -S execve -F dir=/usr/local/bin/ -k local_bin_exec

  登录后复制

  注意，

  -F dir=

  登录后复制
  这种方式可能不如直接监控文件本身精确，因为

  execve

  登录后复制
  会记录被执行的完整路径。更常见的是结合

  path

  登录后复制
  或

  inode

  登录后复制
  。

• 跟踪特定用户的程序启动：

  sudo auditctl -a always,exit -F arch=b64 -S execve -F auid=1001 -k user_program_exec

  登录后复制

  auid

  登录后复制
  是审计用户ID，通常与登录用户ID相同。

2. 跟踪文件访问：

文件访问的审计则更侧重于文件路径和操作类型（读、写、执行、属性更改）。

• 监控关键配置文件（如

  /etc/ssh/sshd_config

  登录后复制
  ）的读写：

  sudo auditctl -w /etc/ssh/sshd_config -p rwxa -k sshd_config_access

  登录后复制

  -p rwxa

  登录后复制
  意味着监控读（r）、写（w）、执行（x）、属性更改（a）。对于配置文件，通常

  rw

  登录后复制
  就足够了。

• 监控特定目录下所有文件的写操作：

  

  万物追踪

  AI 追踪任何你关心的信息

  44

  查看详情

  sudo auditctl -w /var/www/html/ -p wa -k web_root_write

  登录后复制

  这会监控

  /var/www/html/

  登录后复制
  目录下任何文件或子目录的写和属性更改操作。需要注意的是，目录监控会产生大量日志，尤其是对于活跃的目录。

• 监控特定用户对文件的写操作：

  sudo auditctl -a always,exit -F arch=b64 -S open,creat,truncate,ftruncate,unlink,unlinkat -F auid=1001 -F dir=/home/user1/docs/ -p wa -k user1_doc_write

  登录后复制

  这里结合了系统调用（

  open

  登录后复制
  ,

  creat

  登录后复制
  等）和用户ID，以及目录。这种组合可以更精确地定位。

一些个人经验：

配置规则时，我发现最容易犯的错误就是规则过于宽泛，导致日志量暴增，很快就占满了磁盘空间，而且查找有用的信息变得异常困难。例如，一开始就监控整个

/bin

execve

/var

-k

ausearch

审计日志（audit.log）文件应该如何解读和分析？

审计日志文件

/var/log/audit/audit.log

audit_id

serial

日志条目结构：

一个典型的审计日志条目可能包含以下字段：

• type=

  登录后复制
  ： 事件类型，如

  SYSCALL

  登录后复制
  （系统调用）、

  CWD

  登录后复制
  （当前工作目录）、

  path

  登录后复制
  （路径信息）、

  PROCTITLE

  登录后复制
  （进程标题）等。

• msg=

  登录后复制
  ： 消息体，包含时间戳、

  audit_id

  登录后复制
  （唯一的审计事件ID）、

  pid

  登录后复制
  （进程ID）、

  comm

  登录后复制
  （命令名）、

  exe

  登录后复制
  （可执行文件路径）、

  SYSCALL

  登录后复制
  （系统调用号）、

  success

  登录后复制
  （是否成功）、

  exit

  登录后复制
  （退出码）、

  a0-a3

  登录后复制
  （系统调用参数）、

  auid

  登录后复制
  （审计用户ID）、

  uid

  登录后复制
  （实际用户ID）、

  gid

  登录后复制
  （实际组ID）等。

• name=

  登录后复制
  、

  inode=

  登录后复制
  、

  dev=

  登录后复制
  ： 在

  path

  登录后复制
  类型事件中，提供文件或目录的名称、inode号和设备号。

• key=

  登录后复制
  ： 我们在规则中定义的键值（

  -k

  登录后复制
  参数），这是快速过滤的关键。

解读和分析的工具：

直接

cat

grep

/var/log/audit/audit.log

auditd

1. ausearch

   登录后复制
   ：审计搜索工具 这是你分析审计日志的首选工具。它能根据各种条件过滤和格式化日志。

   • 按键值搜索：

     sudo ausearch -k passwd_access

     登录后复制

     这会显示所有与

     passwd_access

     登录后复制
     键相关的审计事件。

   • 按时间范围搜索：

     sudo ausearch --start 08/01/2023 09:00:00 --end 08/01/2023 10:00:00
     sudo ausearch --start today
     sudo ausearch --start boot

     登录后复制

     时间格式很重要，通常是

     MM/DD/YYYY HH:MM:SS

     登录后复制
     。

   • 按用户ID搜索：

     sudo ausearch -auid 1000 # 审计用户ID
     sudo ausearch -uid 0 # 实际用户ID为root

     登录后复制

   • 按事件类型和成功状态搜索：

     sudo ausearch -m SYSCALL -sv no # 搜索所有失败的系统调用

     登录后复制

   • 组合条件搜索：

     sudo ausearch -k web_root_write -sv no --start yesterday

     登录后复制

     这会查找昨天所有对

     web_root

     登录后复制
     的失败写操作。

   • 将输出格式化为可读性更高的形式：

     sudo ausearch -k program_execution | less

     登录后复制

     ausearch

     登录后复制
     默认的输出已经比原始日志好读很多，它会把一个完整的事件合并展示。

2. aureport

   登录后复制
   ：审计报告工具

   aureport

   登录后复制
   可以生成各种汇总报告，帮助你快速了解系统活动概况。

   • 汇总所有事件：

     sudo aureport

     登录后复制

   • 按用户汇总：

     sudo aureport -u

     登录后复制

   • 按可执行程序汇总：

     sudo aureport -x

     登录后复制

   • 按失败事件汇总：

     sudo aureport --failed

     登录后复制

3. autrace

   登录后复制
   ：跟踪单个进程 如前所述，

   autrace

   登录后复制
   用于跟踪新启动的进程，它会临时添加规则并运行程序，然后将所有相关审计事件输出。这对于调试特定程序行为非常有用。

我的经验谈：

刚开始接触

auditd

ausearch

audit_id

-k

ausearch

grep

awk

ausearch

SYSCALL

CWD

path

CWD

SYSCALL

审计规则的持久化与性能考量有哪些？

在Linux审计系统中，规则的持久化和性能考量是两个非常实际且重要的问题。忽视其中任何一个，都可能导致审计系统无法达到预期效果，甚至对系统稳定性产生负面影响。

审计规则的持久化：

你通过

auditctl

auditd

• 配置文件位置： 在大多数现代Linux发行版上，

  auditd

  登录后复制
  服务会从

  /etc/audit/rules.d/

  登录后复制
  目录下的

  .rules

  登录后复制
  文件加载规则。通常，这些文件会按字母顺序加载。你也可以直接编辑

  /etc/audit/audit.rules

  登录后复制
  文件，但最佳实践是创建新的

  .rules

  登录后复制
  文件，例如

  99-custom.rules

  登录后复制
  ，这样可以更好地组织和管理你的自定义规则。

• 文件内容： 配置文件中的规则语法与

  auditctl

  登录后复制
  命令行参数基本一致，每行一个规则。

  # /etc/audit/rules.d/99-custom.rules
  -D # 这一行非常重要，它会在加载新规则前清除所有现有规则
  -a always,exit -F arch=b64 -S execve -k process_exec
  -w /etc/passwd -p rwxa -k passwd_access
  # ... 其他规则
  -e 2 # 这一行也至关重要，它设置审计系统为启用状态，并且不可更改规则

  登录后复制

  -D

  登录后复制
  确保每次服务启动时，规则集都是一个干净的开始，避免旧规则的干扰。

  -e 2

  登录后复制
  意味着审计系统是启用的，并且规则集是锁定的，不能通过

  auditctl

  登录后复制
  命令再添加或删除规则，除非重启服务。这提供了更高的安全性，防止未经授权的规则篡改。

• 激活持久化规则： 编辑完规则文件后，你需要重启

  auditd

  登录后复制
  服务来加载这些新的规则：

  sudo systemctl restart auditd

  登录后复制

  你也可以使用

  sudo auditctl -R /etc/audit/rules.d/99-custom.rules

  登录后复制
  来加载规则，但这不会清除现有规则，所以通常不推荐。

性能考量：

审计系统在内核层面运行，理论上效率很高，但配置不当仍然可能导致显著的性能开销。

• 规则的数量和复杂度： 规则越多，内核在处理每个事件时需要匹配的模式就越多，这会增加CPU的负担。过于复杂的规则（例如，包含大量正则表达式或多个

  &&

  登录后复制
  条件）也会增加处理时间。

• 审计范围： 最常见的性能问题源于审计范围过大。例如，监控整个

  /

  登录后复制
  文件系统的所有读写操作，或者记录所有用户的每一个系统调用。这会产生海量的日志数据，导致：
  • CPU使用率升高： 内核需要处理和匹配更多事件。
  • 磁盘I/O增加： 大量日志数据需要写入磁盘，可能导致磁盘成为瓶颈。
  • 磁盘空间耗尽： 日志文件迅速增长，可能填满文件系统。
  • 日志分析困难： 海量数据使得查找有用信息变得异常困难。

• auditd

  登录后复制
  的配置：

  auditd.conf

  登录后复制
  文件（通常在

  /etc/audit/auditd.conf

  登录后复制
  ）中的一些参数也会影响性能：

  • num_logs

    登录后复制
    ：保留的日志文件数量。

  • max_log_file

    登录后复制
    ：单个日志文件的最大大小。

  • max_log_file_action

    登录后复制
    ：当日志文件达到最大值时的动作（如

    ROTATE

    登录后复制
    、

    KEEP_LOGS

    登录后复制
    、

    SUSPEND

    登录后复制
    ）。

  • flush

    登录后复制
    ：日志写入磁盘的方式（如

    INCREMENTAL

    登录后复制
    、`WATERMARK

以上就是如何在Linux中进程审计 Linux audit进程跟踪的详细内容，更多请关注php中文网其它相关文章！