auditd 是 Linux 内核级审计框架，用于记录命令执行、文件访问、权限变更等底层安全事件，支撑 HIDS 与等保/ISO 27001 合规；默认日志存于 /var/log/audit/audit.log，需启用服务、配置规则并结合 ausearch/aureport 或 ELK 分析异常。

auditd 是 Linux 内核提供的核心审计框架，专为记录系统级安全事件而设计。它不依赖应用层日志，能捕获用户执行命令、文件访问、权限变更、系统调用等底层行为，是构建主机入侵检测（HIDS）和满足合规审计（如等保、ISO 27001）的关键组件。

auditd 基础配置与日志路径

auditd 默认随大多数发行版安装（如 RHEL/CentOS、Ubuntu Server），但常处于未启用状态。启动服务并设为开机自启：

• systemctl enable --now auditd
• systemctl status auditd 确认运行中

主配置文件为 /etc/audit/audit.conf，规则定义在 /etc/audit/rules.d/ 下的 *.rules 文件中。日志默认存于 /var/log/audit/audit.log，按需可配置轮转（通过 max_log_file 和 num_logs 控制）。

编写有效审计规则：聚焦高风险行为

规则通过 auditctl 临时添加，或写入 rules 文件持久化。关键原则是“最小必要”——避免全量监控导致性能下降或日志爆炸。

• 监控敏感目录：例如 -w /etc/passwd -p wa -k identity_change（记录读写+属性修改，打标签 identity_change）
• 拦截特权命令：如 -a always,exit -F path=/usr/bin/sudo -F perm=x -k sudo_exec
• 跟踪可疑系统调用：比如 -a always,exit -F arch=b64 -S execve -F uid!=1000 -k suspicious_exec（仅记录非普通用户 UID 的进程执行）
• 规则加载后执行 augenrules --load 或重启 auditd 生效

解析 audit.log 实现异常识别

audit.log 每行是一条结构化事件，含时间戳、类型（SYSCALL、PATH、CWD）、UID、PID、系统调用名、参数、结果（success=1/0）等字段。人工筛查低效，建议结合工具：

• 用 ausearch -m SYSCALL -ts today -i | grep "execve.*sh" 快速查今日所有 shell 启动
• 用 aureport -f -i -ts yesterday 汇总昨日文件操作统计
• 对高频失败登录，过滤 ausearch -m USER_AUTH -sv no -i，再用 awk 统计源 IP 出现次数
• 生产环境推荐接入 auditd → rsyslog → ELK 或 Wazuh，实现可视化告警

实战异常检测场景示例

真正发挥 auditd 价值，在于将日志转化为可响应的安全信号：

• 横向移动线索：同一用户短时间内在多台机器上触发 execve 调用 ssh 或 scp，且目标 IP 非白名单
• 提权尝试痕迹：setuid 系统调用失败 + 后续立即尝试 execve("/bin/bash")
• 隐蔽持久化：非 root 用户修改 /etc/cron.d/ 或写入 ~/.bashrc，且该用户无对应管理权限
• 数据外泄迹象：大文件（>10MB）被 openat 后连续 read，接着出现 connect 到外部 IP 的记录