RedHat에서 사용자 정의 auditd 로깅 활성화

RedHat에서 사용자 정의 auditd 로깅 활성화

다음 구성을 사용하여 RedHat OS(그룹 ID 555에 속함)에서 모든 사용자 활동을 추적하기 위해 auditd 서비스를 활성화했습니다.

vim /etc/audit/audit.rules
-a always,exit -F gid=555 -F arch=b64 -S execve
-a always,exit -F gid=555 -F arch=b32 -S execve

vim /etc/audisp/plugins.d/syslog.conf
active = yes
args = LOG_LOCAL6

vim /etc/rsyslog.conf
local6.* @@<IP address>

그러나 실행되는 각 명령에 대해 여러 로그(일반적으로 3개 로그)가 생성되며 다음과 같은 모든 필수 정보가 포함된 고유 로그는 없습니다.

  • 주문하다
  • 사용자 이름
  • 타임스탬프
  • 서버 IP
  • 소스 IP

실행된 명령당 하나의 로그만 작성/전달하도록 auditd를 구성할 수 있습니까? 예를 들어, 사용자가푸바실행되면 rm -f /root/test.txt작성/전달된 로그는 다음과 같아야 합니다.

2017-05-10 10:14 <SourceIP> foobar@<DestinationIP> rm -f /root/test.txt

고마워요, 프란시스코

관련 정보