Perguntas sobre 'linux-audit'

1
resposta

Desabilitar o log do syslog para o auditd

auditd enviando logs para /var/logs/messages queremos desabilitá-lo. Como fazer isso? /etc/audisp/plugins.d/syslog.conf eu mudo o active = no mas ainda enviando lotes para o syslog     
20.11.2015 / 00:14
1
resposta

RHEL regras auditd -D

Eu tenho uma confusão sobre as regras de auditoria do Linux do RedHat entriprise. O audit.rules contém o seguinte # This file contains the auditctl rules that are loaded # whenever the audit daemon is started via the initscripts. # The rules...
21.05.2017 / 10:36
1
resposta

aureport interpretando a saída do relatório

Eu executei o seguinte comando no meu sistema RHEL 6 para produzir um relatório de auditoria aureport --login --summary -i que produz a seguinte saída Login Summary Report ============================ total auid ====================...
05.04.2016 / 15:29
1
resposta

Auditoria de kernel / boot no RHEL 7?

No RHEL5 e RHEL6, eu pude adicionar audit=1 para iniciar a auditoria no nível do kernel durante a inicialização antes que o processo de inicialização chegasse tão longe quanto iniciar auditd . Agora, no RHEL7, não consigo encontrar nenhuma...
01.02.2018 / 20:20
1
resposta

como executar um script em eventos auditd?

Configurei o auditd para rastrear alguns arquivos confidenciais no meu sistema. Agora eu gostaria de ter um script que será chamado toda vez que o auditd escrever uma linha, com o argumento $1 desse script sendo a linha adicionada. Pelo qu...
08.03.2017 / 21:46
0
respostas

O aureport pode mostrar o caminho completo para os arquivos?

Estou acompanhando auditd.log e canalizando em ausearch e, em seguida, aureport , com o objetivo de obter um fluxo simples de arquivos modificados: tail -f /var/log/audit/audit.log | ausearch -k my_key | aureport -f --success -i...
13.01.2018 / 22:53
0
respostas

É possível ter regras diferentes de log de auditoria em diferentes arquivos de log?

Eu gostaria de ter algumas regras registradas em um arquivo que não é o arquivo de log padrão definido em /etc/audit/auditd.conf . Existe uma maneira de ter log auditd algumas regras em um arquivo separado? Algo parecido com -w /tmp -LOGFI...
21.06.2017 / 13:58
0
respostas

Auditar e monitorar todos os comandos enviados por meio de uma conexão SSH?

Estou escrevendo porque preciso de uma maneira de monitorar o que meus usuários enviam pelo ssh. Eu tenho um jumphost e tentei o seguinte: link tanto o sistema de autenticação e senha de autenticação tem o correspondente: session...
20.02.2017 / 23:13
0
respostas

auditoria do linux repetindo USER_ACCT CRED_ACQ LOGIN USER_START USER_END no cron

meu sistema é SUSE SLES 11.4 x86-64 e o seguinte parece ser gerado a cada minuto. Isso é depois de uma reinicialização do sistema com muito de tudo desligado no chkconfig, incluindo o auditd. Eu começo o auditd manualmente e faço um tail -f /va...
10.10.2016 / 23:18
0
respostas

Como habilitar o log de auditoria adicional?

Usamos o Auditd para monitorar alterações específicas em sistemas Linux. A maioria das nossas regras vem das diretrizes do CIS Benchmark e poucas são adicionadas especificamente para monitorar certas execuções de comandos. Até agora, só vimos...
09.06.2016 / 00:10