一、日誌審計系統會提供傳送日誌的程序,讓廠商提供然後安裝程序
二、系統自帶的程序(Linux)
1、rsyslog 是標準Linux系統的一部分,能夠實時的寫日誌,並且還可以將日誌選擇性的發送到遠程日誌服務器。
http://www.361way.com/rsyslog-config/6250.html
https://blog.51cto.com/purplegrape/1544117
2、auditd
Linux 內核有用日誌記錄事件的能力,包括記錄系統調用和文件訪問。管理員可以檢查這些日誌,確定是否存在安全漏洞(如多次失敗的登錄嘗試,或者用戶對系統文件不成功的訪問)。
Linux 用戶空間審計系統由 auditd、audispd、auditctl、autrace、ausearch 和 aureport 等應用程序組成。
auditd是Linux審計系統中用戶空間的一個組件,負責將審計記錄寫到磁盤中。在CentOS7上默認就會有安裝這個服務。如果被卸載,可以直接使用yum進行安裝:
yum -y install audit auditd-libs
參考:
https://www.cnblogs.com/bldly1989/p/7204358.html
https://www.codercto.com/a/76534.html
https://baijiahao.baidu.com/s?id=1613468488525635988&wfr=spider&for=pc
https://www.cnblogs.com/hel7512/p/12350223.html
3、audit和syslog日誌系統的關係
audit 主要用來記錄安全信息,用於對系統安全事件的追溯,而 syslog 用來記錄系統信息,如硬件警報和軟件日誌等。syslog 屬於應用層,沒辦法記錄太多信息,audit 用來記錄內核信息,包括文件的讀寫,權限的改變等。
三、其他程序(windows系統)
Windows操作系統本身是可以產生很多日誌的,如每次插拔U盤、服務的重啓等,都會產生日誌,這些信息會記錄在操作系統中,但Windows不像交換機、Linux那樣自帶syslog,而Windows系統自身的日誌又不支持轉發,所以要想收集Windows日誌,必須安裝Agent。用其將Windows的系統日誌、安全日誌、應用日誌等轉換爲syslog然後轉發給我們的服務器端。
常見的Windows日誌轉SYSLOG工具 : evtsys,Snare
http://www.weste.net/2015/03-06/101981.html
https://wenku.baidu.com/view/1abe559f6bec0975f565e202.html
https://blog.51cto.com/7603402/2175080