systeme:auditd
Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentesRévision précédenteProchaine révision | Révision précédente | ||
systeme:auditd [2015/08/18 10:34] – [aureport] root | systeme:auditd [2015/08/18 11:18] (Version actuelle) – [ausearch] root | ||
---|---|---|---|
Ligne 52: | Ligne 52: | ||
</ | </ | ||
- | | + | * Log les syscall '' |
- | | + | |
< | < | ||
$ auditctl -a exit,always -F arch=x86_64 -S open -F auid=1000 -k gigix-open | $ auditctl -a exit,always -F arch=x86_64 -S open -F auid=1000 -k gigix-open | ||
Ligne 63: | Ligne 62: | ||
</ | </ | ||
+ | * Log tout pour le répertoire ''/ | ||
+ | < | ||
+ | $ auditctl -w /etc | ||
+ | </ | ||
===== ausearch ===== | ===== ausearch ===== | ||
Permet de rechercher dans les logs d' | Permet de rechercher dans les logs d' | ||
+ | * Cherche tout ce qui a été exécuté par le binaire '' | ||
< | < | ||
- | $ ausearch -i -f / | + | $ ausearch -i -ts today -x cat -k gigix-open |
---- | ---- | ||
type=PROCTITLE msg=audit(18/ | type=PROCTITLE msg=audit(18/ | ||
Ligne 74: | Ligne 78: | ||
</ | </ | ||
+ | * Recherche dans la journée courante tout ce qui est en rapport avec l'uid '' | ||
+ | < | ||
+ | $ ausearch --start today --loginuid 33 --raw | aureport -f --summary | ||
+ | </ | ||
+ | |||
+ | * log des login : | ||
+ | < | ||
+ | $ ausearch -m LOGIN --start today -i -ts recent | ||
+ | ---- | ||
+ | type=LOGIN msg=audit(18/ | ||
+ | ---- | ||
+ | type=LOGIN msg=audit(18/ | ||
+ | </ | ||
+ | |||
+ | * Rechercher un id auditd: | ||
+ | < | ||
+ | $ ausearch -a 95581 | ||
+ | ---- | ||
+ | time-> | ||
+ | type=USER_END msg=audit(1439500141.278: | ||
+ | </ | ||
===== aureport ===== | ===== aureport ===== | ||
Affiche des rapports. | Affiche des rapports. | ||
Ligne 140: | Ligne 165: | ||
24. 18/08/2015 12:05:28 144432 SYSCALL root no | 24. 18/08/2015 12:05:28 144432 SYSCALL root no | ||
</ | </ | ||
+ | |||
+ | * Voir les fichiers de log générés et les dates associées : | ||
+ | < | ||
+ | $ aureport -t | ||
+ | |||
+ | Log Time Range Report | ||
+ | ===================== | ||
+ | / | ||
+ | / | ||
+ | / | ||
+ | / | ||
+ | / | ||
+ | </ | ||
+ | |||
===== autrace ===== | ===== autrace ===== | ||
Une sorte d' | Une sorte d' |
systeme/auditd.1439894080.txt.gz · Dernière modification : 2015/08/18 10:34 de root