Ativando o log de auditoria customizado no RedHat

1

Eu habilitei o serviço auditd usando a seguinte configuração para rastrear todas as atividades do usuário (pertencentes ao grupo ID 555) no RedHat OS:

vim /etc/audit/audit.rules
-a always,exit -F gid=555 -F arch=b64 -S execve
-a always,exit -F gid=555 -F arch=b32 -S execve

vim /etc/audisp/plugins.d/syslog.conf
active = yes
args = LOG_LOCAL6

vim /etc/rsyslog.conf
local6.* @@<IP address>

No entanto, para cada comando executado, vários logs são gerados (geralmente 3 logs) e não há nenhum log exclusivo que inclua todas as informações necessárias, por exemplo:

  • Comando
  • Nome de usuário
  • Timestamp
  • IP do servidor
  • IP de origem

É possivel configurar o auditd para gravar / encaminhar apenas um log para cada comando executado? Por exemplo, se o usuário foobar executar rm -f /root/test.txt , o log escrito / encaminhado deverá ser algo assim:

2017-05-10 10:14 <SourceIP> foobar@<DestinationIP> rm -f /root/test.txt

Obrigado Francesco

    
por f_ficarola 11.05.2017 / 17:02

0 respostas