Ubuntu安全审计实践：日志监控与异常行为识别技术

在Linux系统安全防护中，日志监控是早期发现异常行为的关键手段。本文将通过具体案例演示如何在Ubuntu系统中配置日志监控策略，识别潜在的安全威胁。

1. 系统日志监控配置

首先需要确保系统日志服务正常运行：

sudo systemctl status rsyslog
sudo systemctl enable rsyslog

配置rsyslog接收远程日志：

# /etc/rsyslog.conf
$ModLoad imtcp
$InputTCPServerRun 514
$ActionFileDefaultTemplate RSYSLOG_FileFormat

2. 关键日志监控规则

创建自定义日志分析脚本：

#!/bin/bash
# monitor_suspicious.sh
LOG_FILE="/var/log/auth.log"

# 监控异常登录尝试
awk '/Failed password/ {print $1" "$2" "$3" - User: "$9}' $LOG_FILE | \
  awk '{print $1" "$2" "$3" - " $4" - " $5}' > /tmp/suspicious.log

# 监控root登录尝试
awk '/Accepted password/ && /root/ {print $0}' $LOG_FILE >> /tmp/root_login.log

3. 异常行为检测

通过以下命令识别异常用户行为：

# 查看最近10次失败的sudo操作
grep "sudo" /var/log/auth.log | grep -i "failed" | tail -10

# 检查是否存在非正常端口监听
netstat -tulpn | grep -E ':(22|80|443)' | grep -v '127.0.0.1'

4. 实施建议

• 定期轮询日志文件
• 设置告警阈值（如连续5次失败登录）
• 集成SIEM系统进行集中监控

通过上述配置，可以有效识别潜在的暴力破解、权限提升等安全威胁。