auditdSELinuxは(名前付き)プロセスの起動を許可しません。私が見つけた拒否への唯一の言及は次のとおりmyplaginです。しかし、ポリシーに追加する必要がある新しいルールが何であるかを確認するには、audit.logスタイルの拒否()を見たいと思います。 。/var/log/audit/audit.log/var/log/messagesCentos8 auditd[3119]: Unable to stat /home/cust/myplagin (Permission denied)type=AVC msg=audit(1705309402....
特定のイベントを記録するように構成された監査規則を持つRHELサーバーがあります。このログをリモートsyslogサーバーに渡したいと思います。これらの特定のログを転送する方法が見つからず、リモートsyslogサーバーの/var/logがいっぱいになることが多いため、すべての監査ログをリモートサーバーに転送するように構成しました。この問題を解決するには2つの方法がありますが、どちらも技術的な解決策を見つけることができません。 その特定のルールのイベントを別々のログファイルに記録するか、可能であればリモートsyslogサーバーに直接書き込みます。 特定のルール...
システムを再起動した後、ルールをロードするだけでLASでauditdシステムを設定できますか? 現在の状況では、サービスを再起動する必要がある状況ですがsystemctl restart auditd、次の再起動まで無効にする方法があるかどうか疑問に思います。 Webを見回したが、現在の構成ファイルにはそのようなオプションがないようです。どんなアイデアがありますか? ...
RHEL 8.8を新しくインストールしてauditd特定の/etc/audit/rules.d/audit.rulesファイルを実行すると、/var/log/audit/audit.logファイルが4 GBを超えるような状況が発生しました。これは、システムに唯一のユーザーアカウントがあり、ログインしている唯一の人であり、cp -rp /data/* /backup/FWIWを/data実行したときにcp -rpフォルダ/dataに50TBを超えるデータが含まれているためです。 /backup のファイルシステムは、RHEL 7.9 から始まる XFS_4....
auditdには次のログメッセージがあります。彼らはソケットへの呼び出しを記録するようです。 type=SYSCALL msg=audit(05/11/2023 23:19:52.913:2533) : arch=x86_64 syscall=socket success=yes exit=9 a0=inet a1=SOCK_DGRAM a2=ip a3=0x7f1b009852d0 items=0 ppid=1484 pid=13953 auid=gwill uid=gwill gid=gwill euid=gwill suid=gwill fsu...
監査を使用してファイルへのアクセスを監視したいので、次のルールを追加しました。 -w /home/test.txt -k monitoring-test ルール(sudo service auditd restart)を再ロードしてファイルを変更しましたが、/home/test.txtログにはそのキーを使用するイベントは生成されません。sudo ausearch -k monitoring-test追加されたルールのイベントのみが返されます。 time->Fri May 5 13:32:19 2023 type=CONFIG_CHANGE msg=...
SELinuxが言ったように、この問題を解決したいと思います。 SELinux is preventing /usr/local/bin/php from read access on the file /web/inc/init_db.inc.php. コンソール出力は次のとおりです。 [root@rhel ~]# ausearch -c 'php' --raw | audit2allow -M my-php compilation failed: my-php.te:15:ERROR 'syntax error' at token 'mlsconstr...
私はPHP / Apache2ベースのWebサービスを持っており、それが実行するすべてのファイルIO操作に感謝したいと思います。 推奨通りに auditd を使用しています。ここ。 私はaudit.dをこんなに設定しました ## enable ruleset -e 1 ## limit rate -r 1000 ## monitor -w /var/www/html/my/path/ -p rwxa -k toplevel_my_app auditd.conf デフォルト値をそのままにします。 どのプログラムでも何でもタッチするたびに、期待/var/w...
私はauditdを使用しています。 auditdではcronのログを収集したくありませんが、cronは収集します。 auditdログを収集したくない場合は、audit.rulesでルールを作成する方法 私は auditctl -a never,exit -F exe=/usr/sbin/cron を書きました。 しかし、うまくいきません ...
AuditDを使用して次のタスクを完了しようとしています。 catを使用するか sudo catを使用するかは、/etc/passwdへのすべてのアクセスを監視する必要があります。まあ、簡単です。ただし、auditdが/ etc / passwdにアクセスするために使用されていない他のsudoコマンドを記録しないようにする必要もあります。 私は今完全に迷子になりました。 -S execveを介してすべてのsudoコマンドを記録するのは簡単ですが、sudo /etc/passwdだけを使用すると頭が痛くなる可能性があります。 ...
私はリアルタイムでログを見るためにdmesgを使って端末を開くのが好きです。しかし、監査ログはかなり長いので、メッセージがカーネルバッファに送信される前にメッセージをフィルタリングする方法があるかどうか疑問に思います(sed / awkを使用しますか?)。 例えば、 audit: type=1105 audit(166671842.234:346): pid=8324 uid=1000 auid=1000 ses=1 msg'op=PAM:session_open grantors=pam_systemd_home,pam_limits,pam_unix,p...
auditdUbuntuはいくつかのルールを適用しようとしていますが、ファイルを編集してデーモンを再起動するたびに新しいaudit.rulesファイルがauditd作成されます。同じファイルをどのようにアーカイブできますか? ...
にアクセスする必要があるサービスアカウントがありますが/var/log/audit/audit.log、ユーザーがrootグループに属してはならず、ファイルの所有権やグループを変更したくないので、ファイルACLを実装することにしました。 問題は、auditdファイルを回転させるときのマンページacl(5)ですsetfacl(1)。 デフォルトのACLを含む親ディレクトリのファイルACLは次のとおりです。 > getfacl /var/log/audit # file: var/log/audit # owner: root # group: root ...
私は「編集済み」と呼ばれる特定のアカウントに対して多くの調整トラフィックを発生させるシステムを持っています。ログには、そのアカウントがsuコマンドを実行していることが表示されます。私の最初の反応は、ルールを確認し、etc/audit/rules.dアカウントに関連するすべてのルールを無効にし、アカウントのログsu記録を許可しないルールを追加することでした。私はまだこれらのログを受信しているので、クリーンな状態を得るために調整ルールを削除しました。 ( auditctl -l No Rules) それでもこれらのログが表示されます。したがって、私の質問は、...
私たちは最近、現在のauditd設定のために/var/log/auditファイルシステムがいっぱいになったことに気づいたので、/etc/audit/auditd.confファイルを使用してこの問題を解決し始めました。 confファイルを次のように修正しました。 # # This file controls the configuration of the audit daemon # log_file = /var/log/audit/audit.log log_format = RAW log_group = root priority_boost = ...