Perguntas sobre 'linux-audit'

0
respostas

Métodos para descobrir o que readontly de remounts / sys (RHEL 6.7)

Alguns colegas têm intermitentemente problemas com a suspensão / hibernação de seus computadores (executando o RHEL 6.7, a instalação normal da estação de trabalho, nada de especial). Como se viu, o problema foi que /sys foi montado somente p...
17.02.2016 / 22:17
0
respostas

Substituição de auditd no OpenVZ

Há alguma substituição para o auditd usar em contêineres do OpenVZ? ProxMox VE (pve-manager / 3.4-6 / 102d4547 (kernel em execução: 2.6.32-39-pve)     
20.03.2016 / 12:15
1
resposta

Onde posso encontrar o dicionário mais recente dos campos de eventos padrão do Linux Audit?

Estou escrevendo um conversor que leva os logs do Linux Audit como entrada. Eu tentei encontrar o arquivo de dicionário mais recente, onde todos os nomes válidos dos campos estão definidos. Encontrei tal arquivo [1 ], mas o site principal...
08.07.2016 / 14:09
1
resposta

auditctl comm vs. exe

Eu estava consultando os relatórios de auditoria do Linux. Aqui está um registro da ausearch. time->Mon Nov 23 12:30:30 2015 type=PROCTITLE msg=audit(1448281830.422:222556): proctitle=6D616E006175736561726368 type=SYSCALL msg=audit(144...
24.11.2015 / 19:43
1
resposta

Quem é o usuário “unset” no aureport?

Não encontrei esse usuário "não definido" indescritível em /etc/passwd e não há menção a ele em man aureport , embora ela tenha marcado o maior número de ocorrências em meu registro de auditoria: # aureport -u -i --summary --start today...
16.09.2014 / 16:13
0
respostas

Por que ausearch não encontra correspondências para SYSTEM_BOOT e SYSTEM_SHUTDOWN?

Eu me pergunto por que não recebo correspondências quando procuro por SYSTEM_BOOT ou SYSTEM_SHUTDOWN. ausearch -m SYSTEM_BOOT ausearch -m SYSTEM_SHUTDOWN Para ter certeza de que os eventos não estão se perdendo durante a inicialização, ad...
26.09.2018 / 20:35
0
respostas

auditd erra a execução em alguns comandos

Eu coloquei uma regra de auditoria no comando jcmd da seguinte forma: auditctl -w /usr/bin/jcmd -p x -k jvm_debug No entanto, quando eu o executo, ele não escreve nada para registrar. Olhando para guias e questões anteriores sobre e...
14.11.2017 / 14:33
0
respostas

Ativando o log de auditoria customizado no RedHat

Eu habilitei o serviço auditd usando a seguinte configuração para rastrear todas as atividades do usuário (pertencentes ao grupo ID 555) no RedHat OS: vim /etc/audit/audit.rules -a always,exit -F gid=555 -F arch=b64 -S execve -a always,exit -...
11.05.2017 / 17:02
0
respostas

Por que esse 'aureport' mostra um ponto de interrogação no campo 'exe'?

Estou tentando depurar porque meu soquete do docker altera a propriedade semanalmente. Eu criei uma regra de log de auditoria em /var/run/docker.sock. O relatório de auditoria mostra-me muitos eventos que acontecem a esse soquete, mas não é m...
03.04.2017 / 01:49
0
respostas

Interpretando registros auditd part1

Recentemente, habilitamos a auditoria em um dos nossos servidores CentOS 7.3 e, ao revisar alguns relatórios básicos, percebi que há uma série de eventos com falha, digamos, cerca de ~ 10K por dia: # aureport -x --failed | grep 03/29 | wc -l...
30.03.2017 / 12:20