Linux上传日志审计怎么配置

Linux上传日志审计怎么配置详细介绍

在 Linux 系统里，要对上传日志进行审计，可通过多种工具来完成，下面为你介绍常见的配置方法：

1. 使用
auditd进行审计

auditd是 Linux 系统中一个强大的审计守护进程，能对文件访问、系统调用等事件进行审计。

安装
auditd

若系统未安装auditd，可借助包管理器进行安装：
bash

 auditd


 yum auditd

配置
auditd规则

编辑/etc/audit/rules.d/audit.rules文件，添加针对文件上传相关操作的审计规则。例如，对/var/www/html目录下的文件创建和写入操作进行审计：
plaintext

# 监控/var/www/html目录下的文件创建和写入操作

-w /var/www/html -p wa -k upload_logs

规则说明：

• -w：指定要监控的文件或目录。
• -p：指定要监控的权限操作，w代表写入，a代表属性更改。
• -k：为规则指定一个键，方便后续查询。

重新加载规则并重启
auditd服务

bash

 auditctl  /etc/audit/rules.d/audit.rules

 systemctl restart auditd

查询审计日志

使用ausearch或aureport命令来查询和分析审计日志：
bash

ausearch upload_logs


aureport 

2. 使用
syslog记录日志

很多应用程序会将日志信息发送到syslog，你可以通过配置syslog来记录文件上传相关的日志。

配置
syslog

编辑/etc/rsyslog.conf或/etc/rsyslog.d/目录下的配置文件，添加相应的规则。例如，将所有authpriv级别的日志记录到单独的文件中：
plaintext

authpriv.* /var/log/authpriv.log

重启
rsyslog服务

bash

 systemctl restart rsyslog

3. 应用程序级别的日志记录

若使用特定的应用程序（如vsftpd、nginx等）来处理文件上传，可通过配置应用程序自身的日志来记录上传信息。

vsftpd配置

编辑/etc/vsftpd.conf文件，确保以下配置项开启：
plaintext

xferlog_enable=YES

xferlog_file=/var/log/vsftpd.log

重启vsftpd服务：
bash

 systemctl restart vsftpd

nginx配置

编辑nginx的配置文件，添加日志记录指令：
plaintext

log_format upload_log '$remote_addr - $remote_user [$time_local] '

 '"$request" $status $body_bytes_sent '
 '"$http_referer" "$http_user_agent"';

server {
 location /upload {
 access_log /var/log/nginx/upload.log upload_log;
 # 其他配置项
 }
}

重启nginx服务：
bash

 systemctl restart nginx

912 systemctl nginx

通过以上配置，你就能对 Linux 系统中的文件上传日志进行全面审计。