2023年7月26日发(作者：)

linux中关于⽇志的审计⼩结在 Linux 系统中，系统的⽇志信息通常存储在 /var/log ⽬录下，部分应⽤程序也会把相关⽇志记录到这个⽬录中。系统⽇志主要分为 3 类，⽤户登录⽇志、特殊事件⽇志和进程⽇志。⽤户登录⽇志主要是/var/log/wtmp和/var/run/utmp，⽤来保存⽤户登录相关的信息。⽤户登录⽇志本⾝为⼆进制⽂件，我们⽆法直接通过⽂本⽅式查看，但是可以配合who/users/ac/last/lastlog这样的命令来获取。特殊事件⽇志主要包括/var/log/secure和/var/log/message。其中，/var/log/secure主要记录认证和授权相关的记录，如果有⼈试图爆破 SSH，我们就可以从这个⽇志中观察出来。/var/log/message由 syslogd 来维护，syslogd 这个守1 su -s /bin/redis-server nobody护进程提供了⼀个记录特殊事件和消息的标准机制，其他应⽤可以通过这个守护进程来报告特殊的事件。进程⽇志：当通过 accton 来进⾏系统进程管理时，会⽣成记录⽤户执⾏命令的 pacct ⽂件。默认情况下，Linux 会通过 logrotate 对⽇志执⾏相应的保留策略（⽐如⽇志切割和旧⽇志删除等）。通过配置/etc/可以对不同⽇志的保留策略进⾏修改。那如何对⽇志进⾏监控呢？这⾥，我向你推荐 2 种常见的⽇志分析⼯具 ELK 和 Zabbix，你可以利⽤这些⼯具来监控 Linux 的安全⽇志。也就是说，我们可以通过在这些分析平台配置恰当的规则（如 SSH 登录尝试失败 3 次以上），来及时发现⿊客的部分⼊侵尝试，迅速产⽣报警。然后，我们就可以针对具体的问题，进⾏⼈⼯复查了。