Como instalar o auditd no CentOS?

Question

Como instalar o auditd no CentOS?

#1 resposta do (1 votos)

3

Como instalar o auditd no CentOS 6.4 x64? Eu quero registrar todos os comandos executados pelos administradores Registre todos os comandos executados pelos administradores nos servidores de produção Editar: não consigo executar o serviço aduditd

Eu fiz com esse tut insira a descrição do link aqui

sudo yum install audit
sudo chkconfig auditd on

Adicionadas estas 2 linhas ao /etc/audit/audit.rules

-a exit,always -F arch=b64 -F euid=0 -S execve
-a exit,always -F arch=b32 -F euid=0 -S execve

Eu executei alguns comandos e não há diretório auditd para logar / var / log /

Agora o auditd não funciona, não consigo executar o serviço em execução. No log de mensagens eu recebo isso

Sep  7 18:05:40 vesoljedomen auditd[6777]: Started dispatcher: /sbin/audispd pid: 6779
Sep  7 18:05:40 vesoljedomen audispd: No plugins found, exiting
Sep  7 18:05:40 vesoljedomen auditd[6777]: Unable to set audit pid, exiting
Sep  7 18:05:40 vesoljedomen auditd: Cannot daemonize (Success)
Sep  7 18:05:40 vesoljedomen auditd: The audit daemon is exiting.
Sep  7 18:05:40 vesoljedomen auditd[6777]: The audit daemon is exiting.
Sep  7 18:05:47 vesoljedomen auditd[6791]: Started dispatcher: /sbin/audispd pid: 6793
Sep  7 18:05:47 vesoljedomen audispd: No plugins found, exiting
Sep  7 18:05:47 vesoljedomen auditd[6791]: Unable to set audit pid, exiting
Sep  7 18:05:47 vesoljedomen auditd: Cannot daemonize (Success)
Sep  7 18:05:47 vesoljedomen auditd: The audit daemon is exiting.
Sep  7 18:05:47 vesoljedomen auditd[6791]: The audit daemon is exiting.
Sep  7 18:06:01 vesoljedomen auditd[6924]: Started dispatcher: /sbin/audispd pid: 6926
Sep  7 18:06:01 vesoljedomen audispd: No plugins found, exiting
Sep  7 18:06:01 vesoljedomen auditd[6924]: Unable to set audit pid, exiting
Sep  7 18:06:01 vesoljedomen auditd: Cannot daemonize (Success)
Sep  7 18:06:01 vesoljedomen auditd: The audit daemon is exiting.
Sep  7 18:06:01 vesoljedomen auditd[6924]: The audit daemon is exiting.


-bash-4.1# -bash-4.1# chkconfig --list | grep auditd
-bash: -bash-4.1#: command not found
-bash-4.1# auditd          0:off   1:off   2:on    3:on    4:on    5:on    6:off
Usage: auditd [-f] [-l] [-n] [-s disable|enable|nochange]
-bash-4.1# -bash-4.1# service auditd status
-bash: -bash-4.1#: command not found
-bash-4.1# service auditd start
-bash-4.1# auditd is stopped

monitoring logging log-files centos auditd

por Luka Tce 07.09.2013 / 23:51

1 resposta

Tags monitoring logging log-files centos auditd

Como fazer o Puppet corrigir os tipos de SELinux para diretórios pessoais? Puppet - restringe ações por ambiente?

score 1 · Answer 1

O diretório é chamado /var/log/audit/ não /var/log/auditd/

Se estiver faltando, alguém excluiu esse diretório, execute sudo yum reinstall audit para recriá-lo.

audit é instalado por padrão e em execução, mesmo assim, execute sudo service auditd start

Nota:

I want to Log all commands run by admins Log all commands run by admins on production servers

O auditd não ajuda você sempre com isso, não é possível registrar tudo, especialmente quando os registros são armazenados na mesma máquina.