auditでファイルやコマンドのログを取得 †

• 記事
  • auditdで特定のsyscallとexit (errno) の組み合わせを無視する - Qiita
  • CentOS 7でauditログに実行コマンドを記録する | 俺的備忘録 〜なんかいろいろ〜
  • auditについてインストールと簡単な利用方法のメモ。 - Qiita
  • 第7章 システム監査 - RedHat

• audit以外の方法
  • Memo/Linux#m318f240 scriptコマンドを使う
  • rootsh 日本語情報トップページ - OSDN
  • GitHub - a2o/snoopy: Log every executed command to syslog (a.k.a. Snoopy Logger).

td-agent(fluentd)でauditログを収集したい場合 †

• td-agent(fluentd)をwheelグループに入れる。
• /var/log/audit/audit.log は root:root 0700で、これをroot:wheelに変更しても、auditdを再起動すると戻ってしまう。

• audispプラグインで別ファイル(/var/log/audisp/audisp.log)を作る

  sudo mkdir /var/log/audisp
  sudo chmod 750 /var/log/audisp
  sudo chown root:wheel /var/log/audisp
  sudo touch /var/log/audisp/audisp.log
  sudo chown root:wheel /var/log/audisp/audisp.log
  sudo chmod 640 /var/log/audisp/audisp.log
  
  # audisp
  sudo vim /etc/audisp/plugins.d/syslog.conf
  --
  active = yes
  args = LOG_LOCAL6
  --
  
  # rsyslog
  sudo vim /etc/rsyslog.d/audit.conf
  --
  $umask 0000
  $DirCreateMode 0750
  $DirGroup wheel
  $FileCreateMode 0640
  $FileGroup wheel
  
  local6.* /var/log/audisp/audisp.log
  & ~
  
  $FileCreateMode 0600
  $FileGroup root
  --
  
  # logrotate
  sudo vim /etc/logrotate.d/audit
  --
  /var/log/audisp/audisp.log {
    daily
    compress
    missingok
    notifempty
    create 0640 root wheel
    dateext
    su root wheel
    sharedscripts
    postrotate
        /bin/kill -HUP `cat /var/run/syslogd.pid 2> /dev/null` 2> /dev/null || true
    endscript
  }
  --
  
  sudo service auditd restart

audit.log †

• デフォルトでは auditd自体がaudit.logのrotateを行う。
  • rotate時にaudit.logのownerの変更にすこし時間がかかる。そのためaudit.logをtd-agent等で監視していると「Permission denied」が出る事がある。
  • 対策1: td-agent側でsource設定で「loglevel fatal」にする。
    • https://docs.fluentd.org/v1.0/articles/logging
  • 対策2: audit側の設定を変更して、rsyslog > log file > logrotateのように扱う
    • <RHEL7>audit.logを毎日ローテーションする - sleep_sleep_echoのブログ

ausearch †

# syscall=setsockopt に一致する最初の1件を表示
sudo ausearch -i -sc setsockopt --just-one

• オプション
  • -m, --message: ALL, SYSCALL等のメッセージタイプ
  • -k, --key: 特定のキーを指定
  • -i, --interpret: 日付、システムコール名、exit番号を分かりやすく表示してくれる
  • --input-logs: cronからausearch実行時に必要
  • --just-one: 一致した最初の1件だけ

• 記事
  • ausearchコマンドの使い方 - Qiita
  • ausearch、aureportで監査ログのサマリレポートを作成 | VPSサーバーでWebサイト公開　備忘録　~Linux、MySQLからAJAXまで

コマンドのログを記録する †

• 記事
  • 全実行コマンドの記録(CentOS7) - Qiita

ファイルへのアクセスを記録する †

auditdデーモンを利用する。

• 記事
  • cloudpackブログ - cloudpack（クラウドパック）Amazon EC2などクラウドの導入設計、運用・保守サービス: ファイルへのアクセスを監査する

• サービスの開始

  chkconfig auditd on
  service auditd restart

• 設定。/var/log/audit/audit.log自体へのアクセスを監視したい場合

  vi /etc/audit/audit.rules
  ----
  
  -w /var/log/audit/audit.log
  ----

• ログ

  tail -f /var/log/audit/audit.log