특정 이벤트를 기록하도록 구성된 감사 규칙이 있는 RHEL 서버가 있습니다. 이 로그를 원격 syslog 서버로 전달하고 싶습니다. 이러한 특정 로그를 전달할 수 있는 방법을 찾을 수 없어서 원격 syslog 서버의 /var/log가 꽉 차는 경우가 많기 때문에 모든 감사 로그를 원격 서버로 전달하도록 구성했습니다. 이 문제를 해결하는 방법에는 두 가지가 있지만 어느 쪽에서도 기술적인 해결책을 찾을 수 없습니다. 해당 특정 규칙에 대한 이벤트를 별도의 로그 파일에 기록하거나 가능한 경우 원격 sys...
시스템을 다시 시작한 후 규칙을 로드하는 것만으로 LAS에서 auditd 시스템을 구성할 수 있습니까? 현재 상황으로는 서비스를 다시 시작해야 하는 상황인데 systemctl restart auditd, 다음 다시 시작할 때까지 무효화할 수 있는 방법이 있는지 궁금합니다. 웹을 둘러봤지만 현재 구성 파일에는 그러한 옵션이 없는 것 같습니다. 어떤 아이디어가 있습니까? ...
RHEL 8.8을 새로 설치하고 auditd특정 /etc/audit/rules.d/audit.rules파일을 실행하면 /var/log/audit/audit.log파일이 4GB보다 커지는 상황이 발생했습니다. 이는 시스템에 유일한 사용자 계정이 있고 로그인한 유일한 사람이며 cp -rp /data/* /backup/FWIW를 /data실행할 때 cp -rp폴더 /data에 50TB가 넘는 데이터가 포함되어 있기 때문입니다. /backup의 파일 시스템은 RHEL 7.9부터 시작하는 XFS_4.0 /d...
auditd에서 다음과 같은 로그 메시지가 있습니다. 그들은 소켓에 대한 호출을 기록하는 것 같습니다. type=SYSCALL msg=audit(05/11/2023 23:19:52.913:2533) : arch=x86_64 syscall=socket success=yes exit=9 a0=inet a1=SOCK_DGRAM a2=ip a3=0x7f1b009852d0 items=0 ppid=1484 pid=13953 auid=gwill uid=gwill gid=gwill euid=gwill sui...
..png)
감사를 사용하여 파일에 대한 액세스를 모니터링하고 싶기 때문에 다음 규칙을 추가했습니다. -w /home/test.txt -k monitoring-test 규칙( sudo service auditd restart)을 다시 로드하고 파일을 수정했지만 /home/test.txt로그에는 해당 키를 사용하는 이벤트가 생성되지 않습니다. sudo ausearch -k monitoring-test추가된 규칙에 대한 이벤트만 반환됩니다. time->Fri May 5 13:32:19 2023 type=CO...
SELinux가 말한 대로 이 문제를 해결하고 싶습니다. SELinux is preventing /usr/local/bin/php from read access on the file /web/inc/init_db.inc.php. 콘솔 출력은 다음과 같습니다: [root@rhel ~]# ausearch -c 'php' --raw | audit2allow -M my-php compilation failed: my-php.te:15:ERROR 'syntax error' at token 'mlsconstr...
나는 PHP/Apache2 기반 웹 서비스를 가지고 있으며 그것이 수행하는 모든 파일 IO 작업을 감사하고 싶습니다. 권장대로 auditd를 사용하고 있습니다.여기. 나는 audit.d를 이렇게 설정했습니다 ## enable ruleset -e 1 ## limit rate -r 1000 ## monitor -w /var/www/html/my/path/ -p rwxa -k toplevel_my_app auditd.conf 기본값을 그대로 둡니다. 어떤 프로그램에서든 무엇이든 터치할 때마다 /var...
.png)
나는 auditd를 사용하고 있습니다. auditd에서는 cron에 대한 로그를 수집하고 싶지 않지만 cron은 수집합니다. auditd 로그를 수집하지 않으려는 경우 audit.rules에서 규칙을 만드는 방법 나는 auditctl -a never,exit -F exe=/usr/sbin/cron을 썼습니다. 하지만 작동하지 않습니다 ...
AuditD를 사용하여 다음 작업을 완료하려고 합니다. cat을 사용하든 sudo cat을 사용하든 /etc/passwd에 대한 모든 액세스를 모니터링해야 합니다. 음, 간단합니다. 하지만 또한 auditd가 /etc/passwd에 액세스하는 데 사용되지 않은 다른 sudo 명령을 기록하지 못하도록 해야 합니다. 나는 이제 완전히 길을 잃었습니다. -S execve를 통해 모든 sudo 명령을 기록하는 것은 쉽지만 sudo /etc/passwd만 사용하면 머리가 아플 수 있습니다. ...
저는 실시간으로 로그를 볼 수 있도록 dmesg를 사용하여 터미널을 여는 것을 좋아합니다. 그러나 감사 로그는 꽤 길며 메시지가 커널 링 버퍼로 전송되기 전에 메시지를 필터링할 수 있는 방법이 있는지 궁금합니다(sed/awk를 사용할까요?). 예를 들어, audit: type=1105 audit(166671842.234:346): pid=8324 uid=1000 auid=1000 ses=1 msg'op=PAM:session_open grantors=pam_systemd_home,pam_limits,p...
auditdUbuntu에서 몇 가지 규칙을 적용하려고 하는데 파일을 편집하고 데몬을 다시 시작할 때마다 새 audit.rules파일 auditd이 생성됩니다. 동일한 파일을 어떻게 보관할 수 있나요? ...
에 액세스해야 하는 서비스 계정이 있는데 /var/log/audit/audit.log, 사용자가 root그룹에 속해서는 안 되고 파일의 소유권이나 그룹을 변경하고 싶지 않기 때문에 파일 ACL을 구현하기로 결정했습니다. 문제는 auditd파일 회전시 맨페이지 acl(5)와 setfacl(1). 기본 ACL을 포함하여 상위 디렉터리에 대한 파일 ACL은 다음과 같습니다. > getfacl /var/log/audit # file: var/log/audit # owner: root # group: r...
저는 "편집됨"이라고 부르는 특정 계정에 대해 많은 조정 트래픽을 발생시키는 시스템을 보유하고 있습니다. 로그에는 해당 계정이 su 명령을 실행하고 있음이 표시됩니다. 나의 첫 번째 반응은 규칙을 확인 etc/audit/rules.d하고 계정과 관련된 모든 규칙을 비활성화 su하고 계정 로깅을 허용하지 않는 규칙을 추가하는 것이었습니다. 나는 아직도 이러한 로그를 받고 있으므로 깨끗한 상태를 얻기 위해 조정 규칙을 제거했습니다. ( auditctl -l No Rules) 여전히 이러한 로그가 표시됩니...
우리는 최근에 현재 auditd 구성으로 인해 /var/log/audit 파일 시스템이 가득 찼다는 사실을 깨달았으므로 /etc/audit/auditd.conf 파일을 사용하여 이 문제를 해결하기 시작했습니다. conf 파일을 다음과 같이 수정했습니다. # # This file controls the configuration of the audit daemon # log_file = /var/log/audit/audit.log log_format = RAW log_group = root priori...
내 로그 파일에 다음 줄이 많이 있습니다: /var/log/auth.log: Mar 4 09:34:39 hostname audit: AUDIT1334 prog-id=18 op=UNLOAD Mar 4 09:34:39 hostname audit: AUDIT1334 prog-id=17 op=UNLOAD Mar 4 09:34:39 hostname audit: AUDIT1334 prog-id=16 op=UNLOAD Mar 4 09:34:39 hostname a...