Как найти IP / имя клиента из журналов аудита

380
Lublaut

Я проверяю файлы в общей папке NFS. Когда я смотрю журналы аудита с помощью команды ausearch -f /var/nfs/general, я получаю несколько журналов, которые выглядят так:

На стороне сервера:

time->Tue Jun 12 16:23:34 2018 type=PROCTITLE msg=audit(1528800814.660:2782): proctitle=636174002F7661722F6E66732F67656E6572616C2F6E6673312E747874 type=PATH msg=audit(1528800814.660:2782): item=0 name="/var/nfs/general/nfs1.txt" inode=4063539 dev=08:01 mode=0100664 ouid=1001 ogid=1001 rdev=00:00 nametype=NORMAL type=CWD msg=audit(1528800814.660:2782): cwd="/home/test" type=SYSCALL msg=audit(1528800814.660:2782): arch=c000003e syscall=2 success=yes exit=3 a0=7ffc2c53c824 a1=0 a2=20000 a3=69d items=1 ppid=31104 pid=7295 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts18 ses=4294967295 comm="cat" exe="/bin/cat" key=(null) 

На стороне клиента:

time->Tue Jun 12 10:22:01 2018 type=UNKNOWN[1327] msg=audit(1528779121.923:84671): proctitle=636174002F6D6E742F6E6673332E747874 type=PATH msg=audit(1528779121.923:84671): item=0 name="/mnt/nfs3.txt" inode=4063534 dev=00:2c mode=0100644 ouid=1001 ogid=0 rdev=00:00 nametype=NORMAL type=CWD msg=audit(1528779121.923:84671): cwd="/home/salini" type=SYSCALL msg=audit(1528779121.923:84671): arch=c000003e syscall=2 success=yes exit=3 a0=7ffd7eeef903 a1=0 a2=1fffffffffff0000 a3=7ffd7eeed870 items=1 ppid=5286 pid=5652 auid=1507 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts8 ses=187 comm="cat" exe="/bin/cat" key=(null) 

Теперь, как я могу получить IP-адрес и имя хоста клиента, который получил доступ к файлам общего доступа nfs?

Есть ли другой способ найти эти детали?

Я хочу собрать такие сведения, как время, дата, IP-адрес клиента, имя хоста клиента, произошедшее событие (например, чтение, запись, переименование, изменение владельца файла, удаление или создание файла в папке nfs).

Собранные данные должны быть помещены в отдельный файл, который может быть использован для дальнейших целей.

Как я могу это сделать?

Я новичок в Linux. Пожалуйста, помогите мне.

Благодарю вас. :)

0
Ваш пример очень похож на локальную команду `cat` ... grawity 6 лет назад 0
Я не думаю, что "кошка" могла бы сделать это. Как сказать, что это похоже на команду `cat`? Lublaut 6 лет назад 0
В строке PROCTITLE написано `cat \ x00 / var / nfs / general / nfs1.txt`. Заголовок процесса не может быть передан по NFS (и, конечно, сама NFS не запускает `cat` для чтения файлов), поэтому это должно быть локально сгенерированное событие. grawity 6 лет назад 0
@grawity Отредактированный пост Lublaut 6 лет назад 0

0 ответов на вопрос

Похожие вопросы