我正在做一个项目,需要对各种文件的读/写/修改进行审计。此外,我还必须记录 ftp 访问、用户登录、NTP/系统时间更改等。有没有一款适用于 UNIX 的好工具可以完成所有这些工作,同时还允许我将数据导出为易于阅读的格式?
现在,我正在使用带有 ausearch 命令等的标准 UNIX 审计工具来监控文件事件。这种方法虽然行得通,但是它有很多废话,我并不特别想编写脚本来解析所有这些文件。我还希望以人类可读的格式编写内容,而不是事后再进行解析。鉴于我们的客户希望能够导出这些审计日志并使用基本工具(Web 浏览器/文本编辑器)阅读它们,我需要它看起来很直观。
对此有什么帮助吗?
干杯。
答案1
文件更改:AIDE
对于日志:Logcheck
您可以对其进行调整,以便它报告日志中的某些条目。
答案2
Linux 系统上有审计守护进程。
答案3
我的推荐是工具OSSEC。
-它进行文件完整性检查来检测文件(或目录)的变化
-它进行日志分析以检测失败的登录、时间变化等
-它是开源的、多平台的并且易于安装。
我一直用它来满足 PCI 合规性要求并审核我的 Linux 系统和路由器(是的,它也通过“无代理”支持思科路由器)。