Outils pour utilisateurs

Outils du site


systeme:auditd

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision
Révision précédente
systeme:auditd [2015/08/18 11:09] – [aureport] rootsysteme:auditd [2015/08/18 11:18] (Version actuelle) – [ausearch] root
Ligne 52: Ligne 52:
 </xtermrtf> </xtermrtf>
  
-  * Ajouter des régles : +  * Log les syscall ''open'' pour l'utilisateur qui a l'id ''1000'' (on précise qu'on est sur du 64 bits car les sycall peuvent être différents) et aoute la clé gigix-open (utile pour filtrer dans les logs) :
-    * Log les syscall ''open'' pour l'utilisateur qui a l'id ''1000'' (on précise qu'on est sur du 64 bits car les sycall peuvent être différents) et aoute la clé gigix-open (utile pour filtrer dans les logs) :+
 <xtermrtf> <xtermrtf>
 $ auditctl -a exit,always -F arch=x86_64 -S open -F auid=1000 -k gigix-open $ auditctl -a exit,always -F arch=x86_64 -S open -F auid=1000 -k gigix-open
Ligne 82: Ligne 81:
 <xtermrtf> <xtermrtf>
 $ ausearch --start today --loginuid 33 --raw | aureport -f --summary $ ausearch --start today --loginuid 33 --raw | aureport -f --summary
 +</xtermrtf>
 +
 +  * log des login :
 +<xtermrtf>
 +$ ausearch -m LOGIN --start today -i -ts recent
 +----
 +type=LOGIN msg=audit(18/08/2015 13:09:01.324:145008) : pid=13252 uid=root old-auid=4294967295 auid=root old-ses=4294967295 ses=2528 res=yes
 +----
 +type=LOGIN msg=audit(18/08/2015 13:10:01.979:145016) : pid=13284 uid=root old-auid=4294967295 auid=root old-ses=4294967295 ses=2529 res=yes
 +</xtermrtf>
 +
 +  * Rechercher un id auditd:
 +<xtermrtf>
 +$ ausearch -a 95581
 +----
 +time->Thu Aug 13 23:09:01 2015
 +type=USER_END msg=audit(1439500141.278:95581): pid=1245 uid=0 auid=0 ses=768 msg='op=PAM:session_close acct="root" exe="/usr/sbin/cron" hostname=? addr=? terminal=cron res=success'
 </xtermrtf> </xtermrtf>
 ===== aureport ===== ===== aureport =====
systeme/auditd.1439896159.txt.gz · Dernière modification : 2015/08/18 11:09 de root