Memo/Linux/audit

https://dexlab.net:443/pukiwiki/index.php?Memo/Linux/audit 		 

auditでファイルやコマンドのログを取得

td-agent(fluentd)でauditログを収集したい場合

  • td-agent(fluentd)をwheelグループに入れる。
  • /var/log/audit/audit.log は root:root 0700で、これをroot:wheelに変更しても、auditdを再起動すると戻ってしまう。
  • audispプラグインで別ファイル(/var/log/audisp/audisp.log)を作る 
    sudo mkdir /var/log/audisp
sudo chmod 750 /var/log/audisp
sudo chown root:wheel /var/log/audisp
sudo touch /var/log/audisp/audisp.log
sudo chown root:wheel /var/log/audisp/audisp.log
sudo chmod 640 /var/log/audisp/audisp.log

# audisp
sudo vim /etc/audisp/plugins.d/syslog.conf
--
active = yes
args = LOG_LOCAL6
--

# rsyslog
sudo vim /etc/rsyslog.d/audit.conf
--
$umask 0000
$DirCreateMode 0750
$DirGroup wheel
$FileCreateMode 0640
$FileGroup wheel

local6.* /var/log/audisp/audisp.log
& ~

$FileCreateMode 0600
$FileGroup root
--

# logrotate
sudo vim /etc/logrotate.d/audit
--
/var/log/audisp/audisp.log {
  daily
  compress
  missingok
  notifempty
  create 0640 root wheel
  dateext
  su root wheel
  sharedscripts
  postrotate
      /bin/kill -HUP `cat /var/run/syslogd.pid 2> /dev/null` 2> /dev/null || true
  endscript
}
--

sudo service auditd restart

audit.log

ausearch 

# syscall=setsockopt に一致する最初の1件を表示
sudo ausearch -i -sc setsockopt --just-one
  • オプション
    • -m, --message: ALL, SYSCALL等のメッセージタイプ
    • -k, --key: 特定のキーを指定
    • -i, --interpret: 日付、システムコール名、exit番号を分かりやすく表示してくれる
    • --input-logs: cronからausearch実行時に必要
    • --just-one: 一致した最初の1件だけ

コマンドのログを記録する

ファイルへのアクセスを記録する

auditdデーモンを利用する。

  • サービスの開始 
    chkconfig auditd on
service auditd restart
  • 設定。/var/log/audit/audit.log自体へのアクセスを監視したい場合 
    vi /etc/audit/audit.rules
----

-w /var/log/audit/audit.log
----
  • ログ 
    tail -f /var/log/audit/audit.log
トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2018-10-05 (金) 18:19:25 (926d)