安全部门想要采集 Linux 服务器上的一些日志，可以采集哪些日志？

audit 有各种规则需要设定过，然后可以获取 ssh 登录信息，文件各种属性被修改的信息； linux 一切皆文件，只需要把需要关注的目录路径设定后，辅以 audit 规则就可以完成一切监控。再底层的就需要使用 ebpf 这种模式去跟踪了，那是另外一回事了。

看起来基本都是 27001 问你要的数据 都是很正常简单的

按事件来记录, 永远会有新的程序新的事件新的命令出现, 每次出现了就要适配, 累不死你.

听我的, 直接每秒生成一次磁盘快照上传到 git 就行了. git 直接就可以对比前后两次文件差异, 就知道干了啥了.

可以看看这 https://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=277089

@v2wp 谢谢

不只上面提到的这些哦，你可以问下负责安全的同事，/var/log 里那些系统日志只是一部分，其他各种中间件的日志也是需要的，nginxapache 啊数据库啊等等等等
要这些日志的目的就在于发生安全事件了可以能更方便的对攻击链进行还原，比如攻击者通过什么途径进来的，访问了哪些东西，执行了什么命令，避免出现服务器日志被攻击者清了或者保存时间不够等这些没法继续排查的情况出现。要是对方也不知道都要什么日志的话你就从这个角度考虑就好了，毕竟我们也不知道你都有什么

他们要采集数据，采集哪些不应该是他们为准 告诉你要哪些？