操作系统日志审计功能怎么设置的
2020-12-13 17:32:45
操作系统日志审计功能的设置需根据系统类型(Windows或Linux)分步骤完成,核心步骤包括开启审计功能、配置日志规则及管理日志存储。
Windows系统设置方法开启审计功能
配置本地安全策略:按下Win + R,输入secpol.msc打开本地安全策略管理器。展开“本地策略→审核策略”,根据需求启用审计项(如“审核登录事件”可记录用户登录行为,“对象访问”可跟踪文件/目录操作)。
设置文件/目录审计:右键点击目标文件或目录,选择“属性→安全→高级→审核”,添加需监控的用户或组,并配置操作类型(如读取、写入、删除)。
管理日志存储空间
输入compmgmt.msc打开计算机管理,导航至“系统工具→事件查看器→Windows日志”,右键点击“安全日志”选择“属性”,设置日志最大大小(如1GB)并选择覆盖策略(如按需覆盖旧事件)。
导出与查看日志
使用命令行工具导出日志:wevtutil epl Security C:audit.evtx将安全日志导出为.evtx文件,可通过事件查看器打开分析。
配置系统日志服务
启动rsyslog服务:执行sudo systemctl status rsyslog检查状态,若未运行则通过sudo systemctl start rsyslog启动,并通过sudo systemctl enable rsyslog设置开机自启。
定义日志规则:编辑/etc/rsyslog.conf或/etc/rsyslog.d/下的配置文件,添加规则(如*.info /var/log/info.log将信息级日志单独存储)。重启服务生效:sudo systemctl restart rsyslog。
操作记录审计
记录命令历史时间戳:执行export HISTTIMEFORMAT="%Y-%m-%d %H:%M:%S "后,使用history命令可显示每条命令的执行时间。
导出历史记录:通过history > 1.txt将命令历史保存至文本文件。
配置日志转发
修改/etc/rsyslog.conf,添加远程服务器配置(如*.* @192.168.1.100:514将日志转发至指定IP的514端口)。重启服务:sudo systemctl restart rsyslog。
关键提示:Windows需通过图形界面与命令行结合配置,Linux依赖文本文件与服务管理;日志存储空间需合理规划以避免覆盖重要事件;远程转发需确保网络连通性。
热门标签
