다음 구성을 사용하여 RedHat OS(그룹 ID 555에 속함)에서 모든 사용자 활동을 추적하기 위해 auditd 서비스를 활성화했습니다.
vim /etc/audit/audit.rules
-a always,exit -F gid=555 -F arch=b64 -S execve
-a always,exit -F gid=555 -F arch=b32 -S execve
vim /etc/audisp/plugins.d/syslog.conf
active = yes
args = LOG_LOCAL6
vim /etc/rsyslog.conf
local6.* @@<IP address>
그러나 실행되는 각 명령에 대해 여러 로그(일반적으로 3개 로그)가 생성되며 다음과 같은 모든 필수 정보가 포함된 고유 로그는 없습니다.
- 주문하다
- 사용자 이름
- 타임스탬프
- 서버 IP
- 소스 IP
실행된 명령당 하나의 로그만 작성/전달하도록 auditd를 구성할 수 있습니까? 예를 들어, 사용자가푸바실행되면 rm -f /root/test.txt
작성/전달된 로그는 다음과 같아야 합니다.
2017-05-10 10:14 <SourceIP> foobar@<DestinationIP> rm -f /root/test.txt
고마워요, 프란시스코