Memo/Linux/audit - DEX Lab

Memo/Linux/audit

https://dexlab.net:443/pukiwiki/index.php?Memo/Linux/audit

[ トップ ] [ 編集 | 凍結 | 差分 | バックアップ | 添付 | リロード ] [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

Top / Memo / Linux / audit

Software

Programming

Game

雑記

連絡先

TreeView

Memo (423)
- ACDSee
- ASP
- ASP.NET
- Adobe
- Affiliate
- Aipo
- Akelos (3)
  - sample (2)
    - ajax
    - pref
- Algorithm (1)
  - image
- Aliyun
- AmazonWebServices (33)
  - ACM
  - Athena
  - CloudFormation
  - CloudFront
  - CloudTrail
  - CloudWatch
  - CodeBuild
  - CodePipeline
  - DynamoDB
  - EC2 (2)
    - AMI
    - mock-ec2-metadata
  - ELB
  - EMR
  - ElasticBeanstalk
  - Glacier
  - IAM
  - IoT
  - Lambda
  - Organizations
  - R53
  - RDS
  - S3
  - SDB
  - SDK
  - SSO
  - VPC
  - awscli (5)
    - DynamoDB
    - EC2
    - RDS
    - S3
    - error
- Amazon_Dash_Button
- Amazon_Fire_TV_Stick
- Amazon_Fire_Tablet
- Android (11)
  - AIR
  - ASUS_EeePad_Transformer
  - GALAXY_Tab
  - HTC_Butterfly_s
  - HTC_Desire
  - HTC_Desire_HD
  - HTC_Desire_Z
  - HTC_HT-03A
  - adk
  - app
  - sdk
- Ansible (5)
  - AWX
  - Error
  - Install
  - Jinja2
  - Tower
- AppleTV
- Arduino
- AugmentedReality
- BBS
- Bazaar
- Becky
- Blog
- Blynk
- Browser
- C
- C++
- CSS
- CloudComputing
- ComputerSecurity
- Consul
- Creative
- DTM
- Database (1)
  - ツリー(階層)構造の設計
- Docker (1)
  - Kubernetes
- Doxygen
- Dropbox
- E-book (3)
  - BOOKSCAN
  - NOOK
  - edit
- EC-CUBE
- Electron
- English
- EstimateTechnique
- Evernote
- Excel
- F-PLUG
- Fabric
- Flash (1)
  - Lite
- Flex
- Fonts
- FreeWLAN
- GIS
- Gainer
- Game
- GameDev
- Geolocation
- GlusterFS
- Google (2)
  - Apps_Script
  - Drive
- Google_Chromecast
- Grafana
- Graphics
- Graphviz
- HTML (1)
  - 5
- Heroku
- IPv6
- ImageProcessing
- InfoPath (1)
  - JScript
- JAWBONE_UP
- Java (7)
  - Eclipse (1)
    - Cray
  - Eclipse3.1でiアプリ開発
  - Maven
  - Tomcat
  - 携帯 (1)
    - サンプル
- JavaScript (1)
  - jq
- Jenkins
- LibreOffice
- LifeHacks
- Linux (89)
  - AntiVirus
  - Apache
  - Archiver
  - Bash
  - BitTorrent
  - CVS
  - CentOS (3)
    - 5
    - 6
    - 7
  - CentOS4
  - ClamAV
  - Duplicity
  - Fedora core 1
  - Fedora core 5 (2)
    - VMware server
    - samba3.0
  - Fluentd(td-agent)
  - Heartbeat
  - HyperEstraier
  - LVM
  - LVS
  - Mailman
  - Makefile
  - Memcached
  - Monit
  - Munin
  - Namazu
  - OpenLDAP
  - OpenResty
  - Pacemaker
  - Redhat Enterprise Linux ES3
  - Redhat Enterprise Linux ES4
  - SC420 (6)
    - MySQL5.0
    - PostgreSQL8.0
    - Subversion
    - eAccelerator0.9.3
    - php5.0
    - 外部公開(DMZ)
  - SSL
  - ShellScript
  - Vyatta
  - WebCamera
  - Zabbix (7)
    - 1.8jp
    - 2.0
    - 2.2
    - 2.4
    - 3.0
    - 4.0
    - API
  - ag
  - anyenv
  - audit
  - command
  - curl
  - denyhosts
  - dnsmasq
  - find
  - haproxy
  - iptables
  - jailkit
  - less
  - lftp
  - logrotate
  - nginx
  - ntp
  - pdsh
  - postfix
  - pure-ftpd
  - rclone
  - rdiff-backup
  - resolv.conf
  - rootsh
  - rpm
  - rsync
  - samba
  - servicelist
  - ssh
  - syslog
  - taRgrey
  - tcpflow
  - vim
  - webdruid
  - wget
  - xargs
  - yum
  - zphoto
- Lua
- MSOffice
- MacOS X (1)
  - app
- Markdown
- MicrosoftVisualStudio
- MongoDB
- Movie
- Mp3tag
- MySQL
- NETGEAR_ReadyNAS
- NetworkNotepad
- NoSQL
- Node.js
- ODROID
- OpenOfficeOrg
- OpenWrt
- Opera
- Oracle
- PC
- PC98
- PDF
- PHP (35)
  - Bug
  - CakePHP
  - Composer
  - Excelファイル生成
  - Google
  - PEAR (11)
    - Auth
    - Cache_Lite
    - DB
    - DB_DataObject
    - File_Archive
    - HTML_QuickForm
    - MDB2
    - QuickForm
    - SQLite
    - Services_Amazon
    - session_pgsql
  - PECL (1)
    - oauth
  - PHP Accelerator
  - SOAP
  - Smarty
  - XML_RPC
  - Xdebug
  - eAccelerator (1)
    - CentOS5.2
  - log4php
  - phpでSSL通信
  - qdmail
  - rss
  - simpletest
  - wkhtmltox
  - xhprof
  - フレームワーク
  - ベンチマーク
- PSP
- PT2 (2)
  - CentOS
  - Ubuntu
- Packer
- PayPal
- Perl (1)
  - OneLiner
- PhantomJS
- Photoshop
- PlantUML
- Poderosa
- PostgreSQL (3)
  - constraint
  - pgpool
  - pgpool-II
- PowerPoint
- Programming
- Puppet
- Python
- RADIUS
- REST_API
- RFID
- RabbitMQ
- Rackspace
- Raspberry_Pi (1)
  - ANAVI_Infrared_pHAT
- Redmine
- Rlogin
- Ruby (1)
  - Rails
- SQLite
- SakuraEditor
- SendGrid
- Server
- Skype
- Slack
- SoftEther (1)
  - Raspberry_Pi
- Solaris
- Stashboard
- Subversion (6)
  - Install
  - trac (4)
- Terraform (2)
  - aws
  - heroku
- ThinkPad
- Trac
- Twitter
- TypeScript
- USB-IO
- Ubuntu
- VMware
- VOCALOID
- Vagrant
- VirtualBox
- Visio
- VxWorks
- WebBrowser (4)
  - Chrome
  - Firefox (1)
    - PreBar
  - Vivaldi
- Wiki (3)
  - BlockingSpam
  - dev
  - 広告
- Windows (12)
  - .NET_Framework
  - 10 (3)
    - BoW
    - WSL (1)
      - wsl-terminal
  - 7
  - 8
  - BatchFile
  - PackageManagement
  - PowerShell
  - VirtualPC
  - エラー
- WindowsMobile (3)
  - Link
  - Software
  - ssh
- Word
- WordPress
- XBMC (2)
  - CentOS
  - Ubuntu
- Xamarin
- YAMAHA-RTX
- backup (1)
  - AcronisTrueImage
- company
- dd-wrt (7)
  - Buffalo_WHR-G301N
  - Buffalo_WXR-1900DHP
  - Buffalo_WZR-1166DHP
  - Buffalo_WZR-1750DHP
  - Buffalo_WZR-D1800H
  - Buffalo_WZR-HP-AG300H
  - Buffalo_WZR-HP-G300NH
- facebook
- favorite
- git (1)
  - GitHub
- golang
- iPhone (2)
  - app
  - sdk
- iPod
- jQuery
- mobile
- pandoc
- printer
- programmer
- serverspec
- spam
- web
- wkhtmltopdf
- yaml
- ユーザビリティ
- 個人情報保護法
- 航空機用語
- 就職
- 設計開発
- 素材集
- 用語
- FrontPage
  - - instag.inc.php

edit
:admin

人気の10件

最新の10件

2018-09-21

2018-09-20

2018-09-19

2018-09-18

Memo/Terraform/aws

total:15220 + 498
today: 1
yesterday: 0
now: 1

auditでファイルやコマンドのログを取得

auditでファイルやコマンドのログを取得 †

記事

audit以外の方法
- Memo/Linux#m318f240 scriptコマンドを使う
- rootsh 日本語情報トップページ - OSDN
- GitHub - a2o/snoopy: Log every executed command to syslog (a.k.a. Snoopy Logger).

audit.log †

デフォルトでは auditd自体がaudit.logのrotateを行う。
- rotate時にaudit.logのownerの変更にすこし時間がかかる。そのためaudit.logをtd-agent等で監視していると「Permission denied」が出る事がある。
- 対策1: td-agent側でsource設定で「loglevel fatal」にする。
  - https://docs.fluentd.org/v1.0/articles/logging
- 対策2: audit側の設定を変更して、rsyslog > log file > logrotateのように扱う
  - <RHEL7>audit.logを毎日ローテーションする - sleep_sleep_echoのブログ

ausearch †

オプション
- -m, --message: ALL, SYSCALL等のメッセージタイプ
- -k, --key: 特定のキーを指定
- -i, --interpret: 日付、システムコール名、exit番号を分かりやすく表示してくれる
- --input-logs: cronからausearch実行時に必要

記事
- ausearch、aureportで監査ログのサマリレポートを作成 | VPSサーバーでWebサイト公開　備忘録　~Linux、MySQLからAJAXまで

コマンドのログを記録する †

記事
- 全実行コマンドの記録(CentOS7) - Qiita

ファイルへのアクセスを記録する †

auditdデーモンを利用する。

記事
- cloudpackブログ - cloudpack（クラウドパック）Amazon EC2などクラウドの導入設計、運用・保守サービス: ファイルへのアクセスを監査する

サービスの開始

chkconfig auditd on
service auditd restart

設定。/var/log/audit/audit.log自体へのアクセスを監視したい場合
```
vi /etc/audit/audit.rules
----

-w /var/log/audit/audit.log
----
```

ログ
```
tail -f /var/log/audit/audit.log
```

Last-modified: 2018-09-15 (土) 07:31:38 (9d)