Новые вопросы с тегом «auditd»

Я пытаюсь сделать акцию NFS. Я настроил общий ресурс. Теперь я хочу просмотреть журналы, связанные с файлами в общей папке NFS. Я создал централизованный сервер журналов. Я не знаю разницы между централизованным rsyslog и централизованным журналом аудита. Итак, я создал оба. Я создал центральный сер...

Я проверяю файлы в общей папке NFS. Когда я смотрю журналы аудита с помощью команды ausearch -f /var/nfs/general, я получаю несколько журналов, которые выглядят так: На стороне сервера: time->Tue Jun 12 16:23:34 2018 type=PROCTITLE msg=audit(1528800814.660:2782): proctitle=636174002F7661722F6E667...

Я хочу знать, есть ли у меня способ аудита событий, выполненных по протоколу SFTP на сервере Linux RHEL 6.9. Спасибо юлия

Я включаю журналы регистрации TTY. ОС: CentOS7 echo "session required pam_tty_audit.so enable=*" >> /etc/pam.d/password-auth-ac Итак, теперь в логах должны быть все нажатия клавиш, которые пользователи проверяют aureport --tty И там это есть, но очень мало, и я не понимаю, как это логи. По...

Я изучал ведение журналов в Linux, но я наткнулся на дорожный блок, который застрял в последние несколько дней. Моя цель - переслать журналы с двух Raspberry Pi 3 под управлением OpenSUSE Tumbleweed (aarch64) на мой ноутбук с Ubuntu 17.04. Я использую rsyslogдля выполнения этого, который используетс...

Я сейчас страдаю с audit : backlog limit exceeded. Я нашел несколько статей с похожей ситуацией, и они сказали, что отрегулируйте количество журналов аудита audit.rules. Вот мой audit.rules ## This file is automatically generated from /etc/audit/rules.d -D -b 320 Я хотел бы изменить это 320на неско...

Я использую AuditD на Centos 6.5. Есть ли способ аудита перезагрузок сервера - кто и когда перезагружает сервер? Так что, если я войду в систему и запустите: sudo reboot Я должен увидеть запись в журнале /var/log/audit/audit.log примерно так: type=CMD msg=audit(1484758210.821:630): user pid=2361 ui...

Я хотел бы отслеживать процессы, которые пытаются подключиться к определенному порту (на удаленном хосте). Итак, я обнаружил, что auditdэто очень мощный инструмент для решения подобных задач. Следующая команда дает указание auditdрегистрировать каждый системный вызов connect: auditctl -a always,exit...

На днях я создал две работы cure для aureport: 1 0 * * * /sbin/aureport -ts yesterday 00:00:00 | mailx -r "info@domain.com" -s "[Audit report] Summary" "user@domain.com" 1 0 * * * /sbin/aureport --tty -ts yesterday 00:00:00 | mailx -r "info@domain.com" -s "[Audit report] TTY details" "user@domain.co...

Я работаю над созданием правила audd, которое будет отслеживать удаление файлов и каталогов. У меня есть один, который часто появляется в онлайн-поисках, но я не уверен, что это действительно так полезно: -a exit,always -F arch=b32 -S unlink -S rmdir -k deletion На самом деле их два. По одному для...

На моем компьютере с ОС CentOS Linux в моем файле audd.conf я установил max_log_file_action = keep_logs. Однако в моих / var / log / messages и /var/log/auditd.log следующее сообщение появляется несколько раз в секунду, что быстро заполняет эти файлы журнала: Audit daemon rotating log files with kee...

Я установил аудит пакетов на моем компьютере с Linux Red-Hat 6.x, чтобы просмотреть записи каждого пользователя, который вошел в систему на моем компьютере с Linux. yum install audit Установка комплекта с: https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Security_Guide/...

Я настраиваю ежедневную проверку работы cron, если файлы изменились в предыдущий день, так как эти файлы не должны изменяться, я получаю пустой отчет, как я могу изменить его, чтобы отправить электронное письмо, чтобы предотвратить это. это моя рабочая линия cron 1 0 * * * root /sbin/aureport -k -ts...

У меня есть некоторые правила в файле aud.conf. Когда делают audctl -l, они не обнаруживаются. Если я перезапущу службу audd и снова выполню audctl -l, то появятся правила. Есть идеи, почему это? Где я могу проверить наличие ошибок при загрузке?

Я пытаюсь использовать audd для мониторинга изменений в каталоге. Проблема в том, что когда я настраиваю правило, оно отслеживает указанный мной каталог, а также все подкаталоги и файлы под ним, что делает мониторинг бесполезным из-за бесконечного многословия. Вот как я настраиваю правило: auditctl...