Linux日志审计如何配置_安全合规运维技巧【技巧】

启用rsyslog并配置统一路径、启用auditd并设置敏感目录与特权命令审计规则、通过rsyslog TLS转发日志至中心平台。

启用系统日志服务并规范日志路径

Linux 默认使用 rsyslog 或 syslog-ng 记录系统事件，确保服务已启用并稳定运行是审计基础。检查命令：systemctl status rsyslog；若未运行，执行 systemctl enable --now rsyslog 启动并设为开机自启。

统一日志保存路径可提升后续分析效率。建议在 /etc/rsyslog.conf 或 /etc/rsyslog.d/50-default.conf 中配置规则，例如：

• 将所有认证相关日志集中到 /var/log/audit/auth.log：添加 auth,authpriv.* /var/log/audit/auth.log
• 限制单个日志文件大小，防止磁盘占满：在 /etc/logrotate.d/rsyslog 中设置 size 100M 和 rotate 12
• 启用日志时间戳与主机名标识，便于多节点溯源：确认 $ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat 已注释，使用默认 ISO 格式

开启 auditd 审计框架捕获关键行为

auditd 是 Linux 内核级审计工具，比普通日志更细粒度、更难绕过。安装后启动服务：apt install auditd（Debian/Ubuntu）或 yum install audit（RHEL/CentOS），再运行 systemctl enable --now auditd。

标签： linux centos ubuntu 工具 amd stream