auditd是合规审计不可替代的核心证据载体,支撑等保2.0、ISO 27001、PCI DSS、HIPAA等标准对行为可追溯、操作留痕与时间可信的硬性要求,具备内核级防篡改、毫秒级时间戳、完整上下文与关键字检索能力,并为自动化合规报告与高效事件溯源提供原始数据基础。
auditd 审计日志不是“可有可无的记录”,而是合规性检查中不可替代的证据载体。它直接支撑等保2.0、ISO 27001、PCI DSS、HIPAA 等标准中对“行为可追溯”“操作留痕”“时间可信”的硬性要求。
多数合规框架明确要求记录特定事件,auditd 能精准覆盖这些刚性指标:
-w /etc/shadow -p wa -k identity 规则即可捕获密码文件修改全过程;/var/log/secure、SSH 登录调用(-a always,exit -F arch=b64 -S execve -F uid!=0 -k remote_cmd);auditd 日志由内核生成、独立于用户空间,攻击者即使获得 root 权限也难以实时清除(除非卸载模块或停服务——这本身就会触发告警)。日志包含:
-k backup_job 或 -k db_export。原始 audit.log 本身不直接输出“符合条款X”,但它是结构化分析的基础:
真实入侵事件中,auditd 往往是唯一留存关键线索的组件:
aureport -f --start today --key identity 快速定位关联账号变更,缩短 MTTR(平均响应时间)。