UNIX系统的审计

Question

我正在进行一个项目，它需要对各种文件的读/写/修改进行一些审核。此外，我还必须记录ftp访问、用户登录、NTP/系统时间更改等。UNIX是否有一个很好的工具可以完成所有这些工作，并允许我将数据导出到一个良好的人类可读的格式？

现在，我正在使用标准UNIX审计工具和ausearch命令等监视文件事件。这是可以的，但是它有很多废话，我并不特别想要编写脚本来解析所有这些文件。我也非常希望以人类可读的格式编写东西，而不是在事后解析它。考虑到我们的客户希望能够导出这些审计日志，并使用基本工具(web浏览器/文本编辑器)读取它们，我需要它简单易懂。

在这个问题上有帮助吗？

干杯。

Answer 1

文件更改: AIDE

对于日志:日志检查

您可以调整它，以便它在日志中报告某些条目。

Answer 2

linux机器上有审计守护进程。

Answer 3

我的建议是OSSEC工具。

-It进行文件完整性检查以检测对文件(或目录)的更改。

-It进行日志分析以检测失败的登录、时间更改等。

-It具有开源、多平台、易于安装等特点.

我一直在使用它来满足PCI要求，并对我的Linux系统和路由器进行审计(是的，它也通过“无代理”支持Cisco路由器)。

链接：http://www.ossec.net