RedHat でカスタム auditd ロギングを有効にする

RedHat でカスタム auditd ロギングを有効にする

次の設定を使用して、RedHat OS(グループID 555に属する)ですべてのユーザーアクティビティを追跡するためにauditdサービスを有効にしました。

vim /etc/audit/audit.rules
-a always,exit -F gid=555 -F arch=b64 -S execve
-a always,exit -F gid=555 -F arch=b32 -S execve

vim /etc/audisp/plugins.d/syslog.conf
active = yes
args = LOG_LOCAL6

vim /etc/rsyslog.conf
local6.* @@<IP address>

ただし、実行される各コマンドに対して複数のログ(通常は3つのログ)が生成され、以下のすべての必須情報を含む一意のログはありません。

  • 注文する
  • ユーザー名
  • タイムスタンプ
  • サーバーIP
  • ソースIP

実行されたコマンドごとに1つのログのみを作成/配信するようにauditdを設定できますか?たとえば、ユーザープヴァ実行されると、rm -f /root/test.txt作成/配信されたログは次のようになります。

2017-05-10 10:14 <SourceIP> foobar@<DestinationIP> rm -f /root/test.txt

ありがとう、フランシスコ

関連情報