Memo/Linux/audit

https://dexlab.net:443/pukiwiki/index.php?Memo/Linux/audit
 

auditでファイルやコマンドのログを取得


audit.log


ausearch

  • オプション
    • -m, --message: ALL, SYSCALL等のメッセージタイプ
    • -k, --key: 特定のキーを指定
    • -i, --interpret: 日付、システムコール名、exit番号を分かりやすく表示してくれる
    • --input-logs: cronからausearch実行時に必要

コマンドのログを記録する


ファイルへのアクセスを記録する

auditdデーモンを利用する。

  • サービスの開始
    chkconfig auditd on
    service auditd restart
  • 設定。/var/log/audit/audit.log自体へのアクセスを監視したい場合
    vi /etc/audit/audit.rules
    ----
    
    -w /var/log/audit/audit.log
    ----
  • ログ
    tail -f /var/log/audit/audit.log

トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2018-09-15 (土) 07:31:38 (9d)