audit
をテンプレートにして作成
[
トップ
] [
タイトル一覧
|
ページ一覧
|
新規
|
検索
|
最終更新
|
ヘルプ
|
ログイン
]
開始行:
* audit
- デーモン [[auditd]]
** コマンド監視
*** 設定ファイル(ルールファイル)
- /etc/audit/rules.d/audit.rules
<pre>
# すべての旧ルール削除
-D
# バッファ増加
-b 8192
# イベント待機時間60秒(バースト対策)
--backlog_wait_time 60000
# 失敗時にsyslogに通知
-f 1
# 新しいルールの設定
-a always,exit -F arch=b64 -S execve -k exec_log # for 6...
-a always,exit -F arch=b32 -S execve -k exec_log # for 3...
</pre>
*** ルールの更新
**** restart の失敗
- Failed to restart auditd.service: Operation refused, un...
-- 手動でのリスタートが禁止されている(セキュリティ上の問...
-- RefuseManualStop=no, RefuseManualStart=no の時に発生
augenrules --load
*** ログファイル
- /var/log/audit/audit.log
*** ルール確認
- auditctl -l
*** 確認
**** 特定ユーザの実行コマンド履歴確認
- ausearch -k exec_log -ua root -i | awk '/^type=EXECVE/ ...
**** 特定ユーザの実行コマンド(本日のみ)
- ausearch -k exec_log -ua alice -i -ts today | grep EXECVE
-- -i は日付を分かり易く表示
#br
**
終了行:
* audit
- デーモン [[auditd]]
** コマンド監視
*** 設定ファイル(ルールファイル)
- /etc/audit/rules.d/audit.rules
<pre>
# すべての旧ルール削除
-D
# バッファ増加
-b 8192
# イベント待機時間60秒(バースト対策)
--backlog_wait_time 60000
# 失敗時にsyslogに通知
-f 1
# 新しいルールの設定
-a always,exit -F arch=b64 -S execve -k exec_log # for 6...
-a always,exit -F arch=b32 -S execve -k exec_log # for 3...
</pre>
*** ルールの更新
**** restart の失敗
- Failed to restart auditd.service: Operation refused, un...
-- 手動でのリスタートが禁止されている(セキュリティ上の問...
-- RefuseManualStop=no, RefuseManualStart=no の時に発生
augenrules --load
*** ログファイル
- /var/log/audit/audit.log
*** ルール確認
- auditctl -l
*** 確認
**** 特定ユーザの実行コマンド履歴確認
- ausearch -k exec_log -ua root -i | awk '/^type=EXECVE/ ...
**** 特定ユーザの実行コマンド(本日のみ)
- ausearch -k exec_log -ua alice -i -ts today | grep EXECVE
-- -i は日付を分かり易く表示
#br
**
ページ名:
![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
