Linux日志审计如何配置_安全合规运维技巧【技巧】

启用rsyslog并配置统一路径、启用auditd并设置敏感目录与特权命令审计规则、通过rsyslog TLS转发日志至中心平台。

启用系统日志服务并规范日志路径

Linux 默认使用 rsyslog 或 syslog-ng 记录系统事件，确保服务已启用并稳定运行是审计基础。检查命令：systemctl status rsyslog；若未运行，执行 systemctl enable --now rsyslog 启动并设为开机自启。

统一日志保存路径可提升后续分析效率。建议在 /etc/rsyslog.conf 或 /etc/rsyslog.d/50-default.conf 中配置规则，例如：

• 将所有认证相关日志集中到 /var/log/audit/auth.log：添加 auth,authpriv.* /var/log/audit/auth.log
• 限制单个日志文件大小，防止磁盘占满：在 /etc/logrotate.d/rsyslog 中设置 size 100M 和 rotate 12
• 启用日志时间戳与主机名标识，便于多节点溯源：确认 $ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat 已注释，使用默认 ISO 格式

开启 auditd 审计框架捕获关键行为

auditd 是 Linux 内核级审计工具，比普通日志更细粒度、更难绕过。安装后启动服务：apt install auditd（Debian/Ubuntu）或 yum install audit（RHEL/CentOS），再运行 systemctl enable --now auditd。

Hugging Face

Hugging Face AI开源社区

270

查看详情

核心在于合理配置审计规则，避免日志爆炸又不漏重点：

• 监控敏感目录变更：auditctl -w /etc/passwd -p wa -k identity_change
• 记录特权命令执行（如 sudo、su）：auditctl -a always,exit -F path=/usr/bin/sudo -F perm=x -k sudo_usage
• 持久化规则写入 /etc/audit/rules.d/cis.rules，重启 auditd 生效
• 定期用 ausearch -k sudo_usage | aureport -f -i 查看匹配事件，验证规则有效性

集中收集与异常告警联动

单机日志难以满足合规要求（如等保2.0、GDPR），需将日志转发至中心平台。rsyslog 支持 TLS 加密传输，保障传输中不被篡改：

• 在客户端配置 /etc/rsyslog.d/10-remote.conf，添加：
  *.* @@(o)192.168.10.5:514;RSYSLOG_ForwardFormat（o 表示 TCP + TLS）
• 服务端 rsyslog 需加载 imtcp 模块并配置证书路径，启用 $InputTCPServerStreamDriverMode 1
• 结合 root:syslog，权限为 750；日志文件设为 640，禁止普通用户读取
• 启用 immutable attribute 锁定关键日志（如 lastlog、wtmp）：chattr +a /var/log/wtmp（仅追加）或 chattr +i /var/log/secure（需临时解除才能轮转）
• 定期校验日志完整性：用 sha256sum /var/log/secure* 生成哈希，存于离线介质或安全服务器，对比发现异常修改
• 审计日志应独立分区（如 /var/log/audit 单独挂载），避免因根分区满导致审计中断

以上就是Linux日志审计如何配置_安全合规运维技巧【技巧】的详细内容，更多请关注php中文网其它相关文章！