Perguntas sobre 'audit'

Tags
0
respostas

Por que ausearch não encontra correspondências para SYSTEM_BOOT e SYSTEM_SHUTDOWN?

Eu me pergunto por que não recebo correspondências quando procuro por SYSTEM_BOOT ou SYSTEM_SHUTDOWN. ausearch -m SYSTEM_BOOT ausearch -m SYSTEM_SHUTDOWN Para ter certeza de que os eventos não estão se perdendo durante a inicialização, ad...
26.09.2018 / 20:35
0
respostas

Formato do registro de data e hora do auditpr do AIX

Existe uma maneira de personalizar o formato de registro de data e hora que o comando auditpr no AIX gera? Estou registrando em binário e, quando uso o auditpr para ler os logs de auditoria binários, recebo algo semelhante a: event...
27.09.2018 / 21:54
2
respostas

servresolv.conf fica em branco quando o sistema está em execução

Eu uso o dhcpcd para gerenciar este arquivo. Primeiro, inicie o serviço dhcpcd e o arquivo tem algo com namesever . Tudo pode ser feito corretamente. Mas esse arquivo ficará em branco depois de um tempo. Eu tento usar auditd par...
17.10.2018 / 12:37
1
resposta

A maneira mais rápida de localizar arquivos / diretórios com ACLs diferentes do pai? (FreeBSD)

Como a pergunta diz. Eu tenho um pool de dados com arquivos ~ 10M com acesso controlado por ACLs do NFSv4. É usável do CLI, Samba, às vezes por processos daemon ou rsync , e para alguns dirs por ftp / sftp, então muita coisa pode ficar conf...
24.04.2018 / 16:45
0
respostas

Auditoria de comando do shell para um único usuário

Qual é a maneira mais fácil de registrar todos os comandos executados em todos os shells diferentes (bash, zsh ...) por um determinado usuário em um arquivo, syslog ou em outro lugar?     
21.03.2018 / 16:04
0
respostas

Ativando o log de auditoria customizado no RedHat

Eu habilitei o serviço auditd usando a seguinte configuração para rastrear todas as atividades do usuário (pertencentes ao grupo ID 555) no RedHat OS: vim /etc/audit/audit.rules -a always,exit -F gid=555 -F arch=b64 -S execve -a always,exit -...
11.05.2017 / 17:02
0
respostas

autrace - Chama auditctl ou não?

O autrace resumo da página do manual é um pouco confuso: This command deletes all audit rules prior to executing the target program and after executing it. As a safety precaution, it will not run unless all rules are deleted with audit...
18.05.2017 / 19:23
0
respostas

Por que esse 'aureport' mostra um ponto de interrogação no campo 'exe'?

Estou tentando depurar porque meu soquete do docker altera a propriedade semanalmente. Eu criei uma regra de log de auditoria em /var/run/docker.sock. O relatório de auditoria mostra-me muitos eventos que acontecem a esse soquete, mas não é m...
03.04.2017 / 01:49
0
respostas

Examine um comando com um parâmetro no Linux

Eu quero usar a função de auditoria do Linux para auditar um comando do Linux date -s . Se eu escrever -w /bin/date -p x -k system-call em audit.rules , ele será gravado quando eu usar o comando date . Mas eu não quero gravar quando uso...
08.02.2017 / 01:27
0
respostas

Como você bloqueia um processo específico (como o vim) de acessar um disco montado?

Se eu tiver um disco montado em meu disco rígido, desejo bloquear todos os processos, exceto os específicos, de ter acesso de leitura / gravação a esse disco. Atualmente, estou pensando que a melhor maneira é auditar o disco e matar os processos...
16.11.2016 / 10:20