Como decodificar logs de auditoria

Navegue suas respostas
3

Estou auditando os arquivos em um compartilhamento nfs. Quando olho para os logs de auditoria usando o comando ausearch -f /var/nfs/general , recebo alguns logs semelhantes a este: 

time->Tue Jun 12 16:23:34 2018
type=PROCTITLE msg=audit(1528800814.660:2782): proctitle=636174002F7661722F6E66732F67656E6572616C2F6E6673312E747874
type=PATH msg=audit(1528800814.660:2782): item=0 name="/var/nfs/general/nfs1.txt" inode=4063539 dev=08:01 mode=0100664 ouid=1001 ogid=1001 rdev=00:00 nametype=NORMAL
type=CWD msg=audit(1528800814.660:2782):  cwd="/home/test"
type=SYSCALL msg=audit(1528800814.660:2782): arch=c000003e syscall=2 success=yes exit=3 a0=7ffc2c53c824 a1=0 a2=20000 a3=69d items=1 ppid=31104 pid=7295 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts18 ses=4294967295 comm="cat" exe="/bin/cat" key=(null)

Agora, como posso obter o endereço IP e o nome do host do cliente que acessou os arquivos de compartilhamento do nfs?

Existe alguma outra maneira de encontrar esses detalhes?

Eu quero reunir os detalhes, como hora, data, endereço IP do cliente, nome do host do cliente, evento ocorrido (como ler, escrever, renomear, alterar a propriedade do arquivo, excluir ou criar um arquivo na pasta nfs ).

Os detalhes coletados devem ser colocados em um arquivo separado, que pode ser usado para outras finalidades.

Como posso fazer isso?

    
por Lublaut 13.06.2018 / 10:25

1 resposta

2

Eu tenho medo que você não possa fazer isso com o servidor NFS padrão do kernel. O subsistema de auditoria faz a auditoria das chamadas do sistema (chamadas do espaço de usuários para o kernel) e não há tais syscalls para operações de E / S feitas pelo NFS, pois o servidor NFS é executado diretamente dentro do kernel.

Algumas maneiras possíveis de obter um log de operações do NFS podem ser:

  • Habilite o log de depuração do NFS usando rpcdebug e processe os logs resultantes.
  • Rastreie as operações interessantes do NFS usando a estrutura ftrace .
  • Mude para um servidor NFS do espaço do usuário, como Ganesha. (Eu não tenho certeza se ele pode acessar os acessos. Se não, você mesmo teria que implementá-lo).

Caso você esteja se perguntando, o registro de auditoria que você mencionou não tem nada a ver com o NFS, é apenas alguém executando cat /var/nfs/general/nfs1.txt localmente.

    
por 13.06.2018 / 12:22

Tags

systemd - Inicializando no modo de emergência com erro - Dependência falhou para / home Pegue os dados de um campo e insira na nova linha