Memo/Linux/audit

http://dexlab.net/pukiwiki/index.php?Memo%2FLinux%2Faudit
 

auditでファイルやコマンドのログを取得


audit.log


ausearch

  • オプション
    • -m, --message: ALL, SYSCALL等のメッセージタイプ
    • -k, --key: 特定のキーを指定
    • -i, --interpret: 日付、システムコール名、exit番号を分かりやすく表示してくれる
    • --input-logs: cronからausearch実行時に必要

コマンドのログを記録する


ファイルへのアクセスを記録する

auditdデーモンを利用する。

  • サービスの開始
    1. chkconfig auditd on
    2. service auditd restart
  • 設定。/var/log/audit/audit.log自体へのアクセスを監視したい場合
    1. vi /etc/audit/audit.rules
    2. ----
    3.  
    4. -w /var/log/audit/audit.log
    5. ----
  • ログ
    1. tail -f /var/log/audit/audit.log

トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2018-04-20 (金) 14:17:22 (6d)