Différences

Ci-dessous, les différences entre deux révisions de la page.

--- systeme:auditd [2015/08/18 09:46] – créée root
+++ systeme:auditd [2015/08/18 11:18] (Version actuelle) – [ausearch] root
@@ Ligne 1: / Ligne 1: @@
 ====== Auditd ======
 ====== Description ======
+Auditd est un outil qui permet de logger des événements intervenu sur l'OS.
-===== Commandes =====
+====== Configuration ======
-==== ausyscall ====
+===== auditd.conf =====
+Ensemble de variable qui permettent de configurer le daemon auditd.
+Se trouve dans ''/etc/audit/auditd.conf''.
+===== audit.rules =====
+Régles qui seront chargées au démarrage du daemon auditd.
+Se trouve dans ''/etc/audit/audit.rules''.
+====== Commandes ======
+===== ausyscall =====
 Map un syscall en id ou un id en numéro de syscall :
 <xtermrtf>
@@ Ligne 20: / Ligne 32: @@
 </xtermrtf>
-==== auditctl ====
+===== auditctl =====
+  * Voir si auditd est enabled (status) :
+<xtermrtf>
+$ auditctl -s
+</xtermrtf>
   * Lister les règles chargées :
 <xtermrtf>
@@ Ligne 36: / Ligne 52: @@
 </xtermrtf>
-  * Ajouter des régles :
+  * Log les syscall ''open'' pour l'utilisateur qui a l'id ''1000'' (on précise qu'on est sur du 64 bits car les sycall peuvent être différents) et aoute la clé gigix-open (utile pour filtrer dans les logs) :
-    * Log les syscall ''open'' pour l'utilisateur qui a l'id ''80'' (on précise qu'on est sur du 64 bits car les sycall peuvent être différents) :
 <xtermrtf>
-$ auditctl -a exit,always -F arch=x86_64 -S open -F auid=80
+$ auditctl -a exit,always -F arch=x86_64 -S open -F auid=1000 -k gigix-open
 </xtermrtf>
@@ Ligne 47: / Ligne 62: @@
 </xtermrtf>
-==== autrace ====
+  * Log tout pour le répertoire ''/etc'' :
+<xtermrtf>
+$ auditctl -w /etc
+</xtermrtf>
+===== ausearch =====
+Permet de rechercher dans les logs d'auditd.
+  * Cherche tout ce qui a été exécuté par le binaire ''cat'' dans la journée et donc la clé est ''gigix-open'' :
+<xtermrtf>
+$ ausearch -i -ts today -x cat -k gigix-open
+----
+type=PROCTITLE msg=audit(18/08/2015 12:05:30.715:144502) : proctitle=cat
+type=PATH msg=audit(18/08/2015 12:05:30.715:144502) : item=0 name=/etc/passwd inode=131360 dev=08:01 mode=file,644 ouid=root ogid=root rdev=00:00 nametype=NORMAL
+type=CWD msg=audit(18/08/2015 12:05:30.715:144502) :  cwd=/etc/apparmor.d
+type=SYSCALL msg=audit(18/08/2015 12:05:30.715:144502) : arch=x86_64 syscall=open success=yes exit=3 a0=0x7ffe6bf27e40 a1=O_RDONLY a2=0x20000 a3=0x7ffe6bf26dc0 items=1 ppid=8792 pid=11211 auid=root uid=root gid=root euid=root suid=root fsuid=root egid=root sgid=root fsgid=root tty=pts2 ses=2496 comm=cat exe=/bin/cat key=gigix-open
+</xtermrtf>
+  * Recherche dans la journée courante tout ce qui est en rapport avec l'uid ''33'' et crée un rapport sur les fichiers qu'il a ouvert :
+<xtermrtf>
+$ ausearch --start today --loginuid 33 --raw | aureport -f --summary
+</xtermrtf>
+  * log des login :
+<xtermrtf>
+$ ausearch -m LOGIN --start today -i -ts recent
+----
+type=LOGIN msg=audit(18/08/2015 13:09:01.324:145008) : pid=13252 uid=root old-auid=4294967295 auid=root old-ses=4294967295 ses=2528 res=yes
+----
+type=LOGIN msg=audit(18/08/2015 13:10:01.979:145016) : pid=13284 uid=root old-auid=4294967295 auid=root old-ses=4294967295 ses=2529 res=yes
+</xtermrtf>
+  * Rechercher un id auditd:
+<xtermrtf>
+$ ausearch -a 95581
+----
+time->Thu Aug 13 23:09:01 2015
+type=USER_END msg=audit(1439500141.278:95581): pid=1245 uid=0 auid=0 ses=768 msg='op=PAM:session_close acct="root" exe="/usr/sbin/cron" hostname=? addr=? terminal=cron res=success'
+</xtermrtf>
+===== aureport =====
+Affiche des rapports.
+  * Affiche les authentification en échec de la journée :
+<xtermrtf>
+$ aureport --auth --failed -ts today
+Authentication Report
+============================================
+# date time acct host term exe success event
+============================================
+. 18/08/2015 00:09:55 ? ? ? /usr/sbin/saslauthd no 141386
+. 18/08/2015 00:09:55 ? ? ? /usr/sbin/saslauthd no 141387
+. 18/08/2015 00:09:56 ? ? ? /usr/sbin/saslauthd no 141388
+. 18/08/2015 00:09:56 ? ? ? /usr/sbin/saslauthd no 141389
+. 18/08/2015 00:09:56 ? ? ? /usr/sbin/saslauthd no 141390
+. 18/08/2015 00:09:56 ? ? ? /usr/sbin/saslauthd no 141391
+. 18/08/2015 00:09:56 ? ? ? /usr/sbin/saslauthd no 141392
+. 18/08/2015 00:09:57 ? ? ? /usr/sbin/saslauthd no 141393
+. 18/08/2015 00:09:57 ? ? ? /usr/sbin/saslauthd no 141394
+. 18/08/2015 00:10:16 shell pepsite.fr ssh /usr/sbin/sshd no 141407
+. 18/08/2015 00:23:52 linux pepsite.fr ssh /usr/sbin/sshd no 141452
+. 18/08/2015 00:37:26 unix pepsite.fr ssh /usr/sbin/sshd no 141503
+. 18/08/2015 00:46:06 data 123.151.22.194 ssh /usr/sbin/sshd no 141542
+. 18/08/2015 01:44:51 www-data 123.151.22.194 ssh /usr/sbin/sshd no 141735
+. 18/08/2015 02:44:10 http 123.151.22.194 ssh /usr/sbin/sshd no 141929
+. 18/08/2015 02:49:05 admin 93.99.96.49 ssh /usr/sbin/sshd no 141946
+. 18/08/2015 03:46:50 httpd 123.151.22.194 ssh /usr/sbin/sshd no 142448
+. 18/08/2015 04:48:28 nobody 123.151.22.194 ssh /usr/sbin/sshd no 142760
+. 18/08/2015 09:24:06 root 138.0.255.113 ssh /usr/sbin/sshd no 143767
+. 18/08/2015 09:29:22 admin 46.72.171.170 ssh /usr/sbin/sshd no 143783
+</xtermrtf>
+  * Affiche les événement en échec de la journée
+<xtermrtf>
+root@ns325358:~# aureport -i -e --failed -ts today
+Event Report
+===================================
+# date time event type auid success
+===================================
+. 18/08/2015 00:09:55 141386 USER_AUTH unset no
+. 18/08/2015 00:09:55 141387 USER_AUTH unset no
+. 18/08/2015 00:09:56 141388 USER_AUTH unset no
+. 18/08/2015 00:09:56 141389 USER_AUTH unset no
+. 18/08/2015 00:09:56 141390 USER_AUTH unset no
+. 18/08/2015 00:09:56 141391 USER_AUTH unset no
+. 18/08/2015 00:09:56 141392 USER_AUTH unset no
+. 18/08/2015 00:09:57 141393 USER_AUTH unset no
+. 18/08/2015 00:09:57 141394 USER_AUTH unset no
+. 18/08/2015 00:10:16 141407 USER_AUTH unset no
+. 18/08/2015 00:23:52 141452 USER_AUTH unset no
+. 18/08/2015 00:37:26 141503 USER_AUTH unset no
+. 18/08/2015 00:46:06 141542 USER_AUTH unset no
+. 18/08/2015 01:44:51 141735 USER_AUTH unset no
+. 18/08/2015 02:44:10 141929 USER_AUTH unset no
+. 18/08/2015 02:49:05 141946 USER_AUTH unset no
+. 18/08/2015 03:46:50 142448 USER_AUTH unset no
+. 18/08/2015 04:48:28 142760 USER_AUTH unset no
+. 18/08/2015 09:24:06 143767 USER_AUTH unset no
+. 18/08/2015 09:29:22 143783 USER_AUTH unset no
+. 18/08/2015 12:05:28 144429 SYSCALL root no
+. 18/08/2015 12:05:28 144430 SYSCALL root no
+. 18/08/2015 12:05:28 144431 SYSCALL root no
+. 18/08/2015 12:05:28 144432 SYSCALL root no
+</xtermrtf>
+* Voir les fichiers de log générés et les dates associées :
+<xtermrtf>
+$ aureport -t
+Log Time Range Report
+=====================
+/var/log/audit/audit.log.4: 13/08/2015 22:50:14.976 - 13/08/2015 23:04:25.972
+/var/log/audit/audit.log.3: 13/08/2015 23:04:26.004 - 13/08/2015 23:37:11.445
+/var/log/audit/audit.log.2: 13/08/2015 23:37:50.420 - 14/08/2015 19:58:25.190
+/var/log/audit/audit.log.1: 14/08/2015 19:58:28.666 - 16/08/2015 13:18:13.688
+/var/log/audit/audit.log: 16/08/2015 13:18:28.396 - 18/08/2015 13:07:08.766
+</xtermrtf>
+===== autrace =====
 Une sorte d'équivalent à **strace** :
 <xtermrtf>
 $ autrace /bin/ls /tmp
 </xtermrtf>
+===== aulastlog =====
+Similaire à la commande ''lastlog'' mais utilise auditd.
+===== aulast =====
+Similaire à la commande ''last'' mais utilise auditd.