Как я могу получить vsftpd логины с помощью Audit и его плагин Prelude?
У меня есть сервер с Audit и Prelude с помощью плагина audisdp-prelude. В настоящее время я получаю события для нескольких типов логинов, таких как sshd и gdm. Однако я, кажется, никогда не получаю информацию для входа в vsftpd. Я знаю, что могу изменить конфигурацию vsftpd и сделать ее выводной в файл, а затем проанализировать ее с помощью prelude-lml, но я бы действительно предпочел, чтобы audit отправил мне событие, чтобы мне не пришлось это делать. Я вижу, что на самом деле audd проверяет логины, но по какой-то причине не пересылает их так, как для всего остального. У меня запущен отдельный сервер prelude-manager, который я пытаюсь использовать для сбора всех событий, достойных моих заметок.
1 ответ
Извините за задержку. Вы это исправили? Если нет, то http://www.sriramrajan.com/mw/index.php/Linux-Auditd может быть полезен.
и вообще... Чтобы использовать средство аудита, вам нужно использовать следующие утилиты => auditctl - команду, помогающую контролировать систему аудита ядра. Вы можете получить статус, а также добавить или удалить правила в систему аудита ядра. Настройка наблюдения за файлом осуществляется с помощью этой команды:
=> ausearch - команда, которая может запрашивать журналы демона аудита на основе событий, основанных на различных критериях поиска.
Там написано: экспортируйте ваши логи vsftpd через syslog в файл и выполните фильтрацию из Auditd. Это похоже на то, что вы думали о Prelude-lml.