如何从应用程序登录到AUDITD？

Question

我们正在考虑从rsyslog迁移到auditd，但我还没有找到应用程序应该如何将日志消息输出到auditd。(关于rsyslog，已经有了详细的记录)。

Answer 1

您对auditd作为日志记录替代品的理解是不正确的。Auditd不是syslog/rsyslog类型日志记录的直接替代。相反，它基于对内核的系统调用生成日志。

然后手册页解释道：

auditd是Linux审计系统的用户空间组件。它负责将审计记录写入磁盘。查看日志是使用ausearch或aureport实用程序完成的。配置审计系统或加载规则是使用auditctl实用程序完成的。在启动期间，/etc/audit/audit.rules中的规则由auditctl读取并加载到内核中。另外，还有一个augenrules程序，它读取位于/etc/audit/rules.d/中的规则并将它们编译成audit.rules文件。审计守护进程本身有一些配置选项，管理员可能希望自定义这些选项。它们可以在auditd.conf文件中找到。

还有一个很好的审计概述，标题是：审计简介d

……因为它是在内核级别运行的，这给我们提供了一个连接到我们想要的任何系统操作的钩子。我们可以选择在任何特定的系统调用发生时写入日志，不管是unlink还是getpid。我们可以监视对任何文件的访问，所有的网络流量，实际上是我们想要的任何东西。细节的层次是相当惊人的，而且，由于它在如此低的层次上运行，信息的粒度是非常有用的。

我还将指导您阅读本教程，标题为：如何在CentOS 7上使用Linux审计系统。这里有一个从auditd获得的日志记录类型的例子。

type=SYSCALL msg=audit(1434371271.277:135496): arch=c000003e syscall=2 success=yes exit=3 a0=7fff0054e929 a1=0 a2=1fffffffffff0000 a3=7fff0054c390 items=1 ppid=6265 pid=6266 auid=1000 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts0 ses=113 comm="cat" exe="/usr/bin/cat" key="sshconfigchange"

type=CWD msg=audit(1434371271.277:135496):  cwd="/home/sammy"

type=PATH msg=audit(1434371271.277:135496): item=0 name="/etc/ssh/sshd_config" inode=392210 dev=fd:01 mode=0100600 ouid=0 ogid=0 rdev=00:00 objtype=NORMAL

所有这些都来自单个事件，但有3条消息是通过auditd记录的。您可以通过msg=audit(...)字段判断哪些事件是关联的。

我向您展示了这个示例，因为这种类型的日志记录是从内核驱动的，而不是应用程序本身。

注意：Auditd的真正目的是生成与内核交互的审计日志，而syslog/rsyslog实际上是用于应用程序本身的通用日志记录。