auditdLinux 系统审计日志记录谁动了你的服务器服务器被入侵后管理员面临的第一个问题往往不是怎么修复而是到底发生了什么——攻击者登录了哪个账号修改了哪些文件执行了什么命令没有完善的审计日志这些问题无从回答。auditdLinux Audit Daemon是 Linux 内核内置的审计子系统的用户空间组件它在内核级别拦截系统调用记录文件访问、用户登录、权限提升、命令执行等关键事件生成不可篡改的审计日志是服务器安全合规PCI DSS、等保、CIS Benchmark的核心组件。本文将从安装配置到规则编写带你全面掌握auditd的使用让谁动了你的服务器这个问题有据可查。适用场景与服务器配置auditd适用于所有需要安全合规或事后审计的场景生产 Web 服务器监控 Web 目录文件变更及时发现 Webshell 植入。数据库服务器监控配置文件、敏感目录的访问记录 DBA 操作。跳板机 / 堡垒机记录所有用户的登录和命令执行满足操作审计要求。合规场景满足 PCI DSS、ISO 27001、等保 2.0 等对操作日志的要求。auditd对机型没有特殊要求资源占用极低任何机型均可部署。推荐在雨云服务器 rainyun-com上部署该机型配置均衡适合同时运行业务服务和审计系统日志可存储在系统盘或挂载的20GB 数据盘上。注册填码2026off领 5 折低成本搭建合规审计环境。安装Debian / Ubuntuaptupdateaptinstall-yauditd audispd-pluginsCentOS / Rocky Linux / AlmaLinuxdnfinstall-yaudit audit-libs安装完成后启动并设置开机自启systemctlenable--nowauditd systemctl status auditd验证审计子系统状态auditctl-s输出应包含enabled 1表示审计已启用。核心概念审计规则类型auditd 的规则分为三类控制规则Control rules修改审计系统行为如设置缓冲区大小、锁定规则集。文件系统规则Filesystem watch rules-w监控指定文件或目录的访问。系统调用规则Syscall rules-a监控特定系统调用支持按用户、进程、参数过滤。关键字段解析查看审计日志时常见字段含义字段含义type事件类型SYSCALL、PATH、USER_AUTH 等uid真实用户 IDauid审计用户 ID登录时的原始用户即使 sudo 后也保留exe执行的程序路径key规则标签用于搜索过滤success操作是否成功yes/nocomm进程名称hostname主机名addr远程 IP登录事件查看当前规则# 列出当前加载的所有规则auditctl-l# 查看审计系统状态auditctl-s实时查看审计日志# 原始日志位置tail-f/var/log/audit/audit.log# 结构化搜索推荐ausearch-mUSER_LOGIN-i# 生成报告aureport--summary实战配置规则文件管理推荐将规则写入/etc/audit/rules.d/目录下的.rules文件而不是直接使用auditctl临时添加重启后会丢失。文件按字典序加载建议按功能分文件。规则一监控 /etc/passwd 和 /etc/shadow 修改这两个文件的修改意味着用户账户变更是最常见的入侵痕迹之一。创建文件/etc/audit/rules.d/10-identity.rulescat/etc/audit/rules.d/10-identity.rulesEOF # 监控用户账户相关文件 -w /etc/passwd -p wa -k identity -w /etc/shadow -p wa -k identity -w /etc/group -p wa -k identity -w /etc/gshadow -p wa -k identity -w /etc/sudoers -p wa -k identity -w /etc/sudoers.d/ -p wa -k identity EOF参数说明-w监控的文件或目录路径-p wa监控的权限类型w写入a属性变更r读取x执行-k identity规则标签用于 ausearch 过滤规则二监控 sudo 使用cat/etc/audit/rules.d/20-sudo.rulesEOF # 监控 sudo 相关操作 -w /usr/bin/sudo -p x -k sudo_usage -w /etc/sudoers -p rwa -k sudo_config EOF规则三监控 SSH 登录cat/etc/audit/rules.d/30-ssh.rulesEOF # 监控 SSH 认证相关文件 -w /etc/ssh/sshd_config -p wa -k ssh_config -w /var/log/auth.log -p wa -k auth_log # 监控 SSH 登录通过 PAM -w /etc/pam.d/ -p wa -k pam_config EOF规则四监控 Web 目录文件访问这对于检测 Webshell 植入和文件篡改至关重要cat/etc/audit/rules.d/40-webaccess.rulesEOF # 监控 Web 根目录的读写执行和属性变更 -w /var/www -p rwxa -k webaccess EOF注意-p r读取会产生大量日志如果 Web 目录访问频繁建议只监控wa避免日志爆炸。规则五监控特权命令执行root 命令审计cat/etc/audit/rules.d/50-privileged.rulesEOF # 64位系统监控所有以 root 身份执行的命令 -a always,exit -F archb64 -S execve -F euid0 -k root_commands -a always,exit -F archb32 -S execve -F euid0 -k root_commands # 监控权限提升相关系统调用 -a always,exit -F archb64 -S setuid -S setgid -F a00 -k setuid_root -a always,exit -F archb32 -S setuid -S setgid -F a00 -k setuid_root EOF参数说明-a always,exit在系统调用退出时记录always 表示始终记录-F archb64仅匹配 64 位系统调用-S execve监控 execve 系统调用执行程序-F euid0过滤有效用户 ID 为 0root的进程规则六监控关键系统目录cat/etc/audit/rules.d/60-system.rulesEOF # 监控定时任务配置 -w /etc/cron.d/ -p wa -k cron -w /etc/crontab -p wa -k cron -w /var/spool/cron/ -p wa -k cron # 监控内核模块加载 -w /sbin/insmod -p x -k kernel_modules -w /sbin/rmmod -p x -k kernel_modules -w /sbin/modprobe -p x -k kernel_modules -a always,exit -F archb64 -S init_module -S delete_module -k kernel_modules # 锁定规则防止在运行时修改需重启才能更改 # -e 2 EOF最后的-e 2会将规则集锁定防止运行时修改适合高安全场景但需谨慎使用锁定后只能重启解锁。加载规则修改规则文件后重新加载augenrules--load# 或systemctl restart auditd# 验证规则已加载auditctl-l日志查询ausearch 与 aureportausearch 按条件过滤# 按时间范围查询最近 1 小时ausearch--startrecent-i# 按关键标签查询ausearch-kidentity-iausearch-kwebaccess-i# 按用户查询ausearch-uaroot-i# 按事件类型查询用户认证ausearch-mUSER_AUTH-i# 按时间段查询ausearch--start05/16/2026 08:00:00--end05/16/202618:00:00-i# 查询失败的操作ausearch--successno-i# 组合查询查询特定用户的失败操作ausearch-uawww-data--successno-i-i参数将 UID/GID 等数字解析为人类可读的用户名。aureport 生成摘要报告# 总体事件摘要aureport--summary# 认证事件报告登录/登出aureport--auth# 失败操作报告aureport--failed# 文件操作报告aureport--file# 登录报告aureport--login# 用户报告aureport--user# 可执行文件报告aureport--executable# 时间范围报告今天aureport--starttoday--summary# 仅查看失败的认证事件aureport--auth--failed日志轮转与归档配置长期运行后审计日志会占用大量磁盘空间。在/etc/audit/auditd.conf中配置日志轮转策略# 编辑 auditd.confvi/etc/audit/auditd.conf关键配置项# 日志文件路径 log_file /var/log/audit/audit.log # 单个日志文件最大大小MB max_log_file 100 # 保留的日志文件数量 num_logs 10 # 磁盘空间不足时的动作suspend暂停记录rotate轮转halt关机 space_left 500 space_left_action rotate # 磁盘空间严重不足时的动作 admin_space_left 100 admin_space_left_action SUSPEND # 磁盘满时的动作HALT 最安全可防止日志被绕过 disk_full_action SUSPEND disk_error_action SUSPEND修改后重启 auditd 生效systemctl restart auditd将日志发送到远程服务器在多机环境中集中收集审计日志可以防止本地日志被攻击者篡改。audisp-remote是 auditd 的远程日志转发插件。在日志服务器接收端上# 编辑 /etc/audit/auditd.conf启用远程接收# tcp_listen_port 60在被监控服务器发送端上安装 audisp-remote 插件通常随audispd-plugins安装# 编辑 /etc/audisp/plugins.d/au-remote.confcat/etc/audisp/plugins.d/au-remote.confEOF active yes direction out path /sbin/audisp-remote type always args 192.168.1.100 format string EOF# 编辑远程配置cat/etc/audisp/audisp-remote.confEOF remote_server 192.168.1.100 port 60 mode immediate queue_depth 20 EOF重启审计服务使配置生效serviceauditd restartCIS Benchmark 常见审计规则清单以下是 CIS Linux Benchmark 推荐的核心审计规则适合作为合规基准cat/etc/audit/rules.d/99-cis.rulesEOF # CIS Benchmark 推荐规则 # 确保收集时间修改事件 -a always,exit -F archb64 -S adjtimex -S settimeofday -k time-change -a always,exit -F archb32 -S adjtimex -S settimeofday -S stime -k time-change -a always,exit -F archb64 -S clock_settime -k time-change -w /etc/localtime -p wa -k time-change # 确保收集用户/组信息修改事件 -w /etc/group -p wa -k identity -w /etc/passwd -p wa -k identity -w /etc/gshadow -p wa -k identity -w /etc/shadow -p wa -k identity # 确保收集网络环境修改事件 -a always,exit -F archb64 -S sethostname -S setdomainname -k system-locale -w /etc/hosts -p wa -k system-locale -w /etc/network/ -p wa -k system-locale # 确保收集强制访问控制策略修改事件 -w /etc/apparmor/ -p wa -k MAC-policy -w /etc/apparmor.d/ -p wa -k MAC-policy # 确保收集登录/注销事件 -w /var/log/faillog -p wa -k logins -w /var/log/lastlog -p wa -k logins -w /var/log/tallylog -p wa -k logins # 确保收集会话初始化事件 -w /var/run/utmp -p wa -k session -w /var/log/wtmp -p wa -k session -w /var/log/btmp -p wa -k session # 确保收集 Discretionary Access Control 权限修改事件 -a always,exit -F archb64 -S chmod -S fchmod -S fchmodat -F auid1000 -F auid!4294967295 -k perm_mod -a always,exit -F archb64 -S chown -S fchown -S fchownat -S lchown -F auid1000 -F auid!4294967295 -k perm_mod # 确保收集未授权文件访问尝试 -a always,exit -F archb64 -S creat -S open -S openat -S truncate -S ftruncate -F exit-EACCES -F auid1000 -F auid!4294967295 -k access -a always,exit -F archb64 -S creat -S open -S openat -S truncate -S ftruncate -F exit-EPERM -F auid1000 -F auid!4294967295 -k access # 确保收集 sudo 日志 -w /var/log/sudo.log -p wa -k sudo_log EOF加载 CIS 规则augenrules--loadauditctl-l|wc-l# 查看已加载规则数量常用命令速查操作命令查看审计状态auditctl -s列出当前规则auditctl -l临时添加文件监控auditctl -w /etc/passwd -p wa -k passwd_change临时删除规则auditctl -W /etc/passwd -p wa -k passwd_change加载规则文件augenrules --load清除所有规则auditctl -D查看最近认证事件ausearch -m USER_AUTH -i按标签查询日志ausearch -k identity -i按时间查询ausearch --start recent -i查询失败操作ausearch --success no -i生成总体报告aureport --summary认证事件报告aureport --auth失败操作报告aureport --failed文件操作报告aureport --file手动轮转日志service auditd rotate查看原始日志tail -f /var/log/audit/audit.log小结auditd是 Linux 服务器安全体系中不可缺少的一环。通过合理的规则配置它能够记录服务器上发生的一切关键操作为安全审计、事件溯源和合规检查提供可靠依据。建议将本文的规则与自动化告警如将日志接入 ELK、Wazuh 等 SIEM 平台结合构建完整的安全运营能力。