UNIX 操作系统的 syslog 审计机制中,主要的审计任务由 syslogd 守护进程承担,它接收审计事件,产生审计信息,请问哪几类对象向它传递审计事件?请为每类对象举出一个进程或程序实例
时间: 2023-11-25 17:06:52 浏览: 46
在 UNIX 操作系统的 syslog 审计机制中,主要的审计任务由 syslogd 守护进程承担,它接收审计事件,产生审计信息。常见的向 syslogd 传递审计事件的对象包括:
1. 系统内核:内核会产生与系统安全相关的审计事件,例如进程创建、文件访问等。内核将这些事件通过 klogd 守护进程写入系统日志,再由 syslogd 守护进程接收并处理。
2. 系统服务:许多系统服务也会产生安全相关的审计事件,例如 SSH 服务器、Web 服务器等。这些服务通常会将审计事件写入 /var/log/secure 文件中,由 syslogd 守护进程接收处理。
3. 应用程序:某些应用程序也会产生安全相关的审计事件,例如数据库服务、邮件服务等。这些应用程序通常会将审计事件写入自己的日志文件中,再由 syslogd 守护进程接收并处理。
举例来说,进程创建事件可以由系统内核产生,例如 fork() 系统调用,相应的进程是 init 进程;文件访问事件可以由系统服务产生,例如 Apache Web 服务器,相应的进程是 httpd 进程;数据库访问事件可以由应用程序产生,例如 MySQL 数据库,相应的进程是 mysqld 进程。
相关问题
linux检查是否启用 Syslog 日志审计
在 Linux 系统中,可以通过检查 syslog 守护进程是否在运行来判断是否启用了 Syslog 日志审计。可以使用以下命令检查:
```
systemctl status syslog
```
如果该命令输出中显示 syslog 守护进程正在运行,则表示启用了 Syslog 日志审计。如果未显示,则需要启动该守护进程或者确认系统是否使用其他日志审计系统。另外,可以查看 /etc/rsyslog.conf 文件查看 Syslog 配置信息。
Linux 审计参数说明
Linux 审计参数是指 Linux 系统中用于启用和配置审计功能的一组参数。这些参数通常存储在 /etc/audit/auditd.conf 或 /etc/audit/rules.d/ 目录中的文件中。
以下是一些常见的 Linux 审计参数及其说明:
1. enabled:指定是否启用审计功能。默认值为 true。
2. log_format:指定审计日志的格式。常见的格式包括 RAW 和 JSON。
3. log_group:指定审计日志文件所属的组。
4. log_file:指定审计日志文件的路径和名称。
5. max_log_file:指定审计日志文件的最大大小。
6. num_logs:指定保存的审计日志文件数量。
7. flush:指定审计日志写入磁盘的频率。
8. freq:指定审计日志轮换的频率。
9. dispatch:指定审计事件的发送方式。常见的方式包括 syslog、email 和 netconsole。
10. action_mail_acct:指定发送邮件的账户。
11. admin_space_left:指定磁盘空间不足时,管理员应该收到警报的阈值。
12. disk_full_action:指定磁盘空间已满时的操作。
总之,Linux 审计参数可以让管理员根据自己的需求来配置审计功能,以满足系统安全方面的要求。