var-log-secure: 记录认证相关的事件,如用户登录成功/失败、sudo 命令执行等 var-log-auth.log: 与 secure 类似,也记录认证相关的事件。 var-log-audit-audit.log:Linux 安全审计子系统 (auditd) 生成的审计日志,记录系统级别的安全事件。 var-log-cron:记录定时任务的运行信息。

我整理了这些,还有其他的师傅们推荐一下,可以尽量全面一点

举报· 209 次点击
登录 注册 站外分享
1 条回复  
GeorgeWai 小成 3 天前
audit 有各种规则需要设定过,然后可以获取 ssh 登录信息,文件各种属性被修改的信息; linux 一切皆文件,只需要把需要关注的目录路径设定后,辅以 audit 规则就可以完成一切监控。再底层的就需要使用 ebpf 这种模式去跟踪了,那是另外一回事了。
返回顶部