%20(2).svg)
项目简介
本项目是基于C语言的审计日志处理工具集,可对Linux审计日志进行解析、搜索与分析。工具集涵盖处理审计日志的命令行工具,如ausearch、aulast、ausyscall和auvirt等,还包含管理链表和解析时间的辅助库。
项目的主要特性和功能
- ausearch:能从审计日志中搜索事件,支持事件类型、时间范围、用户ID、系统调用等多种搜索选项。
- aulast:解析审计日志,显示用户登录和退出信息,跟踪用户会话。
- ausyscall:可映射系统调用名称和编号,支持双向查询。
- auvirt:从audit日志提取虚拟化相关数据,处理不同事件类型,能将结果打印到控制台或计算摘要。
- 链表库:提供链表创建、插入、删除和遍历等基本操作。
- 时间处理库:解析和设置时间戳,可将用户输入的日期和时间字符串转换为时间戳。
安装使用步骤
安装依赖
- 运行
which auditd检查是否已安装auditd,未安装则通过sudo yum install audit audit-libs安装。 - 安装构建依赖库:
yum install autoconf automake libtool tcp_wrappers-devel openldap-devel。
拉取代码
使用 git pull code 拉取项目代码。
配置和编译
- 运行
./configure --sbindir=xxx,xxx为auditd的路径,如--sbindir=/sbin。 - 编译并安装:
make & make install。
配置Selinux
检查Selinux工作模式是否为enforcing,若是,执行以下命令:
$ checkmodule -M -m -o auditdwatch.mod auditdwatch.te
$ semodule_package -o auditdwatch.pp -m auditdwatch.mod
$ semodule -i auditdwatch.pp
$ semodule -l | grep auditdwatch
启动和停止auditd
- 检查auditd状态:
service auditd status。 - 启动auditd:
service auditd start。 - 停止auditd:
service auditd stop。
处理共享内存
每次重启auditd时,手动关闭共享内存:
$ ipcs -m
$ ipcrm shm shmid
通过以上步骤,即可成功安装并使用该项目处理和分析Linux审计日志。
下载地址
点击下载 【提取码: 4003】【解压密码: www.makuang.net】