/proc からログを収集するように auditd を構成する方法

/proc からログを収集するように auditd を構成する方法

2日ほど探してみましたが、手ぶらで来ましたね。私はSplunkでLinuxベースの資格情報ダンプに対する脅威警告を構築する方法を探しています。

これを行うには、/procディレクトリを監視できる必要があります。 auditとauditd(監査デーモン)が見つかりましたが、実際にauditdを設定して監視できる場合は、Splunkに/proc接続できます。audit.log

少なくとも監視したいです。

  • /proc/<PID>/maps
  • /proc/<PID>/mem
  • /proc/<PID>/cmdline

しかし、理想的には監視したいと思います/proc

ここでこのようなことをした人はいますか?もしそうなら、助けてくれて本当にありがとう。

/procまた、私はklogd(カーネルロギングデーモン)を見つけましたが、それを設定する方法やこれが必要かどうかわかりません。

私は間違いなく他のアプローチとアイデアに開いています。

答え1

私の環境でRHELとSplunkForwarderを使用してください。構成はauditd以下に基づいています。監査ルールの定義または監査ルールセットの紹介

ファイルシステム監視(-w)ルール定義

auditctl -w <filePath> -p permissions -k <keyName>

録音権限があります

  • r - ファイルまたはディレクトリの読み取り
  • w - ファイルまたはディレクトリへの書き込み
  • x - 実行
  • a - 属性の変更

つまり-p wa

すべてを監視する/procことはあまりにも多くのことです。

関連情報