服务器审计:如何使用Audit和目录服务器审计

      审计是一项支持对您的网站服务器进行监管、合规性检查、操作审核和风险审核的服务项目。借助 CloudAudit，您可以纪录系统日志、持续监控并保存与整个云基础设施中操作相关的账号活动。CloudAudit 提供账号活动的事件历史纪录，这些活动包括通过云管理控制台、API 服务项目、命令行工具和其他云服务实行的操作。这一事件历史纪录可以简化安全性分析、资源变更跟踪和问题排查业务。

 

云审计服务项目直接对接云上的其他服务项目，纪录用户的云服务资源的操作信息，展示最近的云 API 操作纪录，用于日后替代现有的操作日志功能。

用户可以对事件实行以下两种操作

事件创建和保存

当用户在弹性网站服务器、云硬盘服务项目、镜像服务项目等其它与云审计完成对接的服务项目中，进行了添加、删掉、修改种类的操作时，实行操作的服务项目会自动记录操作动作及操作结果，并按照指定的格式发送事件到云审计服务项目完成事件归档。云审计服务管理控制台会保存最近30天的操作纪录。

 

 

事件查询

用户可以通过云审计服务项目页面的事件列表界面自带的条件和时间过滤功能，查询最近30天的操作纪录。

开通云审计服务项目时关联到的跟踪集是一个系统日志应用，应用中包含了纪录操作日志种类信息，操作日志存储路径等内容。使用跟踪集，用户可以自己创建一个目录来纪录自己的操作纪录，该目录将展示30天之内的操作纪录。

 

 

Audit 文件和目录访问审计

我们使用审计工具的一个基本的需求是监控文件和目录的变更。使用auditd工具，我们可通过如下指令来配置(注意，以下指令需要root管理权限)。

文件审计

$ sudo auditctl -w /etc/passwd -p rwxa

选项 :

-w path : 指定要监控的路径，上面的指令指定了监控的文件路径 /etc/passwd

-p : 指定触发审计的文件/目录的访问权限

rwxa 指定的触发条件，r 读取管理权限，w 写入管理权限，x 实行管理权限，a 属性（attr）

 

 

目录审计

使用类似的指令来对目录进行审计，如下

$ sudo auditctl -w /production/

以上指令将监控对 /production 目录 的所有访问。

现在，运行 auditctl -l 指令即可查看所有已配置的标准。