linux 记录删除动作的审计日志

linux 记录删除动作的审计日志
在Linux中，要记录删除动作（如文件删除）的审计日志，通常需要使用审计框架（Audit Framework）或称为Linux审计系统（Linux Audit System，简称auditd）。

auditd是Linux内核的一部分，它可以跟踪系统上发生的安全相关事件，并将这些事件记录到审计日志中。

以下是设置Linux审计系统以记录删除动作的步骤：
安装auditd服务：
1.对于大多数Linux发行版，auditd服务默认已经安装。

如果没有，你可以使用包管理器安装它。

例如，在Debian/Ubuntu上，可以使用apt安装：
复制代码
bash`sudo apt update
sudo apt install auditd`
在Red Hat/CentOS上，可以使用yum或dnf安装：
复制代码
bash`sudo yum install audit
# 或者
sudo dnf install audit`
启动并启用auditd服务：
2.启动auditd服务：
复制代码
bash`sudo systemctl start auditd`
3.设置auditd服务在系统启动时自动启动：
复制代码
bash`sudo systemctl enable auditd`
配置audit规则：
4.auditd使用规则来确定要跟踪哪些事件。

你可以使用auditctl 命令来添加规则。

要跟踪文件删除事件，你可以使用-w选项来指定要监视的文件或目录，并使用-p选项来指定要跟踪的权限（在这种情况下是删除权限）。

例如，要跟踪/etc/passwd文件的删除事件，你可以执行：
复制代码
bash`sudo auditctl -w /etc/passwd -p wa`
这里，-w指定了要监视的文件，-p wa指定了要跟踪的权限（w 表示写权限，用于跟踪文件删除；a表示属性更改）。

5.你可以根据需要添加更多的规则来跟踪其他文件或目录的删除事件。

查看审计日志：
6.审计日志默认存储在/var/log/audit/audit.log文件中。

你可以使用cat、tail、grep等命令查看和分析这些日志。

例如，要查看最近的审计日志，可以执行：
复制代码
bash`sudo tail -f /var/log/audit/audit.log`
7.要查找特定的删除事件，你可以使用grep命令搜索日志中的关键词，如“delete”或“remove”。

请注意，审计系统可能会对系统性能产生一定的影响，特别是当配置了大量的审计规则时。

因此，在配置审计系统时，建议仔细考虑需要跟踪的事件，并避免过度监控。