Linuxユーザーアクティビティの監視と監査

Linuxユーザーアクティビティの監視と監査

var/log/secure次の情報を提供してください。

Mar 20 08:07:07 testing sshd[29749]: Accepted password for oracle from 10.51.1.12 port 49239 ssh2
Mar 20 08:07:07 testing sshd[29749]: pam_unix(sshd:session): session opened for user oracle by (uid=0)
Mar 20 08:12:16 testing sshd[29759]: Received disconnect from 10.51.1.12: 11: Disconnect requested by Windows SSH Client.
Mar 20 08:12:16 testing sshd[29749]: pam_unix(sshd:session): session closed for user oracle

oracleしかし、上記の情報では、ユーザーがどのコマンドを実行したのかわかりませんか?

/home/oracle/.bash_history実行するコマンドに関する情報を提供します。

cat /u01/up_apps.sh 
cd daily/work
less Auto_Clone.log 
cat Auto_Clone.log 
exit
exit
cat /home/oracle/ashfaq/Auto_Clone/Auto_Clone.sh 
cat /u01/down.sh 
cd /u01/oracle/inst/apps/TESTING_testing/admin/scripts/
./adstpall.sh apps/apps
./adstrtal.sh apps/apps
cat /home/oracle/ashfaq/Auto_Clone/Auto_Clone.sh 
cat /home/oracle/ashfaq/demo/main_exec.sh
cd /home/oracle/ashfaq/demo/
ls -ltr
cat main_exec.sh

ただし、どのIPまたはホスト名からユーザーがこれらのコマンドを実行したかはわかりません。

root時間、IP、ユーザー名(、、、)、およびこれらのユーザーが実行したコマンドとともに、これらすべての情報を単一のファイルに保存するカスタムファイルを作成できますか?oraclericky

答え1

これを行うツールがあります。と呼ばれるauditこのプログラムは、1人以上の特定のユーザーまたはすべてのユーザーに関する大量の情報を記録できます。ただし、サーバー上のすべてのシステムコールに対して監査ルールを確認するため、パフォーマンスが低下する可能性があります。また、IP情報は含まれていません。これを達成するには、監査ログとSSHログを組み合わせて、ユーザーがどのIPからログインしているかを確認する必要があります。

監査ルールを適用する方法については、を実行して見つけることができますman auditctl

関連情報