1 启用 cron 行为日志功能

1、检查内容
检查系统是否启用 cron 行为日志功能。
2、配置要求
系统启用 cron 行为日志功能。
3、配置方法
编辑/etc/rsyslog.conf 文件，配置 cron.* /var/log/cron
配置检查方法如下：
grep "^cron.* /var/log/cron" /etc/rsyslog.conf
如果上面没输出内容，则表明没用相关配置，进行如下配置：
cp /etc/rsyslog.conf /etc/rsyslog.conf.bak
echo "cron.* /var/log/cron" >>/etc/rsyslog.conf

2 启用 su 命令使用情况记录

1、检查内容
检查系统是否启用 su 命令使用情况记录。
2、配置要求
系统启用 su 命令使用情况记录。
3、配置方法
编辑/etc/rsyslog.conf 文件，配置 authpriv.* /var/log/secure
配置检查方法如下：
grep "^authpriv.* /var/log/secure" /etc/rsyslog.conf
如果上面没输出内容，则表明没用相关配置，进行如下配置：
cp /etc/rsyslog.conf /etc/rsyslog.conf.bak
echo " authpriv.* /var/log/secure " >>/etc/rsyslog.conf

3 启用 sudo 命令日志功能

1、检查内容
检查系统是否启用 sudo 命令日志功能。
2、配置要求
系统启用 sudo 命令日志功能。
3、配置方法
编辑 etc/sudoers 文件，配置 Defaults logfile=/var/log/sudo.log
配置方法：
echo "Defaults logfile=/var/log/sudo.log" >>/etc/sudoers

4 配置安全事件日志功能

1、检查内容
检查系统是否配置安全事件日志功能。
2、配置要求
系统配置安全事件日志功能。
3、配置方法
编辑 etc/rsyslog.conf 文件，配置*.err;kern.debug;daemon.notice /var/adm/messages
配置方法：
echo "*.err;kern.debug;daemon.notice /var/adm/messages" >>/etc/rsyslog.conf
touch /var/adm/messages

5 配置安全事件日志功能

1、检查内容
检查系统是否配置日志文件权限。
2、配置要求
系统配置日志文件权限。
3、配置方法
配置日志相关文件的权限
/var/log/messages ##600（-rw-------）
/var/log/secure ##600（-rw-------）
/var/log/audit/audit.log ##600（-rw-------）
/var/log/cron ##600（-rw-------）
/var/log/sudo.log ##600（-rw-------）
/var/adm/messages ##600（-rw-------）
文件的权限查看方法：ls -l 文件名，例如：ls -l /var/log/cron
权限修改方法：chmod 权限值 文件名或目录名，例如：chmod 600 /var/log/cron
配置举例如下：
chmod 600 /var/log/messages
chmod 600 /var/log/secure
chmod 600 /var/log/audit/audit.log
chmod 600 /var/log/cron
chmod 600 /var/log/sudo.log
chmod 600 /var/adm/messages

6 启动日志和审记服务

1、检查内容
检查系统是否启动日志和审记服务。
2、配置要求
系统启动日志和审记服务。
3、配置方法
重启 rsyslog 日志服务和 auditd 审计服务，命令如下：
service rsyslog restart
service auditd restart
查看服务运行状态命令如下：
systemctl status rsyslog
systemctl status auditd