Описание тега auditd
AuditD является компонентом пространства пользователя системы аудита Linux.
4
ответа
Файловый аудит в Linux: как посмотреть дерево каталогов для удалений?
У меня на сервере запущен скрипт форума и как-то небольшое количество вложений начинает теряться. Я хочу узнать, что их удаляет и в какое время. Как я могу настроить Linux audd (auditctl) для просмотра дерева каталогов (вложения хранятся в многоуров…
24 май '10 в 11:21
1
ответ
pam_tty_audit и непривилегированные пользователи
Я работаю над коробкой cents 6.3 и пытаюсь зарегистрировать все команды, выполненные из оболочки bash, и наткнулся на pam_tty_audit. Я добавил соответствующую строку в мой /etc/pam.d/system-auth file: session required pam_tty_audit.so enable=* Пробл…
31 авг '12 в 20:13
0
ответов
Неожиданные аварии jBoss и сигналы аудита
Мы наблюдаем неожиданные сбои JBoss на полурегулярной основе. В этом случае JBoss 5 работает на RHEL6. Я считаю, что это связано с sigusr1, отправленным в процесс JBoss. Журналы на сервере JBoss просто заканчиваются, и вообще ничего не регистрируетс…
18 сен '12 в 10:23
1
ответ
Как настроить audd для записи всей активности из событий, которые запускаются с WinSCP
У меня есть требование от клиента (я понятия не имею, может ли оно быть выполнено после нескольких дней поиска). Это запрос: "Правила аудита должны быть расширены для событий (создание, удаление, обновление, изменение, переименование) независимо от …
31 май '18 в 06:36
1
ответ
Предложение по настройке аудита
Я пытаюсь узнать о защите Linux-бокса (я использую Ubuntu). Auditd рекомендуется для мониторинга действий на узле. Мне удалось установить его, но я не могу найти много информации о правильной настройке для защиты моего узла. Как мне настроить audd, …
05 мар '11 в 18:32
1
ответ
Как я могу получить vsftpd логины с помощью Audit и его плагин Prelude?
У меня есть сервер с Audit и Prelude с помощью плагина audisdp-prelude. В настоящее время я получаю события для нескольких типов логинов, таких как sshd и gdm. Однако я, кажется, никогда не получаю информацию для входа в vsftpd. Я знаю, что могу изм…
17 авг '10 в 14:53
1
ответ
Отправка записей audd в мой плагин audispd
После настройки auditctlправила, я хочу отправить эти сопоставленные записи в мой скрипт Python для дальнейшего анализа. Это вовлеченные файлы: auditd записей: type=PATH msg=audit(1451011319.268:533): ... type=CWD msg=audit(1451011319.268:533): cwd=…
26 дек '15 в 14:35
0
ответов
Аудит только изменений в файлах
Я использую Auditd для записи любых изменений в файлах. Вот правило: # auditctl -l LIST_RULES: exit,always dir=/var/local/ (0x1e) perm=w key=state-files но если я бегу # ausearch -i -k state-files Команда, которую я получил: ... type=PATH msg=audit(…
28 апр '16 в 08:16
2
ответа
Как выяснить, какие процессы удаляют файлы из определенного каталога?
Я пытаюсь выяснить, какие процессы удаляют файлы из определенного каталога, поэтому я хочу настроить и запустить auditd в моей системе. Я установил следующее правило в audit.rules: -w S unlink -S truncate -S ftruncate -a exit,always -k cache_deletio…
28 сен '12 в 16:05
1
ответ
Как fastCGI PHP изменяет файл и избегает обнаружения при помощи audd?
На днях я установил небольшой сценарий оболочки на сервере Debian, чтобы он отправлял мне электронное письмо при изменении файлов; это выглядит так: #!/bin/sh items=`find /var/www/vhosts -regex ".*/httpdocs/.*" -newer files_start -ls` if [ ! -z "$it…
24 авг '13 в 02:10
1
ответ
Как установить аудитд на CentOS?
Как установить audd на CentOS 6.4 x64? Я хочу Записать все команды, запущенные администраторами Записать все команды, запущенные администраторами на производственных серверах Редактировать: я не могу запустить службу aduditd Я сделал с этим тут введ…
07 сен '13 в 21:51
1
ответ
auddd не регистрирует действия файла должным образом
У меня есть компьютер с Linux, где я настроил правило аудита для отслеживания любых типов изменений в файле. Это правило я поместил в файл /etc/audit/audit.rules: -w /home/ec2-user/splunk-test/secret-file -p rwxa -k log_everything Этот файл находитс…
03 май '17 в 05:34
2
ответа
Как зарегистрировать все команды, запущенные в Linux, включая их аргументы (параметры)?
Как я могу регистрировать все команды, выполняемые в Linux, включая их аргументы командной строки (параметры)? Так, например, если кто-то запускает: rm -rf /tmp/foo Я бы увидел запись в журнале, похожую на эту: 2016-01-01 18:00:00 user=bob command='…
21 мар '16 в 19:47
1
ответ
Регистрация нарушений правил в limit.conf
Я пытаюсь записать подробности программ, в которых произошел сбой из-за ограничения лимита, определенного в limit.conf. Мой первоначальный план состоял в том, чтобы сделать это с помощью системы аудита. Идея состояла в том, чтобы отследить системные…
25 окт '13 в 14:09
1
ответ
Отказано в доступе при добавлении правила аудита в плагин audisp
Я пытаюсь написать плагин audisp на Linux CentOS 7 VM. Вместо статической установки правил аудита через /etc/audit/rules.d/ я хотел динамически добавлять правила в плагин с использованием интерфейсов libaudit (на основе некоторых системных настроек)…
12 ноя '18 в 06:01
1
ответ
log bash команда централизованный сервер или любой audd saas
Я ищу способ отслеживать нашу работу системного администратора на серверах. Допустим, у sysmin 1 и sysmin 2 есть доступ к любому серверу, но мы должны убедиться и отследить все, что они делают на нашем сервере. Что-то вроде: server 1 ---- auditd or …
19 ноя '13 в 20:20
0
ответов
audd исключить вход в систему пользователя SSH
Linux 4.9.0-7-amd64 #1 SMP Debian 4.9.110-3+deb9u2 (2018-08-13) x86_64 GNU/Linux auditd-2.6.7-2 amd64 Там есть пользователь (user1 - auid=1002) - ssh account (SSH туннель для удаленных подключений MySQL). Мне нужно исключить его активность из журнал…
30 янв '19 в 12:47
1
ответ
Перезапуск Audit вызывает Audispd перенастроить бесконечный цикл
Мы перезапускаем некоторые из наших служб в Debian jessie каждую ночь в 23:45 в рамках ротации лог-файлов. Среди тех сервисов, которые мы перезапускаем, auditd оказание услуг. Мы иногда видим, что audispd перезапускается в бесконечный цикл переконфи…
02 апр '18 в 18:52
1
ответ
Игнорировать определенные типы с помощью audd
Я недавно поиграл с Audit и пытался отключить некоторые записи. Вот моя Audit.ru запись в журнале execve # First rule - delete all -D -a always,exit -F arch=b64 -S execve -a always,exit -F arch=b64 -S vfork -a always,exit -F arch=b64 -S fork Это соз…
20 ноя '13 в 22:43
0
ответов
Как просмотреть журналы аудита на сервере
Я пытаюсь сделать акцию NFS. Я настроил общий ресурс. Теперь я хочу просмотреть журналы, связанные с файлами в общей папке nfs. Я создал централизованный сервер журналов. Я не знаю разницы между централизованным rsyslog и централизованным журналом а…
18 июн '18 в 08:14