systeme:auditd
Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentesRévision précédenteProchaine révision | Révision précédenteDernière révisionLes deux révisions suivantes | ||
systeme:auditd [2015/08/18 09:58] – root | systeme:auditd [2015/08/18 11:14] – [auditctl] root | ||
---|---|---|---|
Ligne 6: | Ligne 6: | ||
===== auditd.conf ===== | ===== auditd.conf ===== | ||
Ensemble de variable qui permettent de configurer le daemon auditd. | Ensemble de variable qui permettent de configurer le daemon auditd. | ||
+ | |||
Se trouve dans ''/ | Se trouve dans ''/ | ||
===== audit.rules ===== | ===== audit.rules ===== | ||
Régles qui seront chargées au démarrage du daemon auditd. | Régles qui seront chargées au démarrage du daemon auditd. | ||
+ | |||
Se trouve dans ''/ | Se trouve dans ''/ | ||
Ligne 31: | Ligne 33: | ||
===== auditctl ===== | ===== auditctl ===== | ||
+ | * Voir si auditd est enabled (status) : | ||
+ | < | ||
+ | $ auditctl -s | ||
+ | </ | ||
* Lister les règles chargées : | * Lister les règles chargées : | ||
< | < | ||
Ligne 46: | Ligne 52: | ||
</ | </ | ||
- | | + | * Log les syscall '' |
- | | + | |
< | < | ||
- | $ auditctl -a exit,always -F arch=x86_64 -S open -F auid=80 | + | $ auditctl -a exit,always -F arch=x86_64 -S open -F auid=1000 -k gigix-open |
</ | </ | ||
Ligne 55: | Ligne 60: | ||
< | < | ||
$ auditctl -a exit,always -F path=/ | $ auditctl -a exit,always -F path=/ | ||
+ | </ | ||
+ | |||
+ | * Log tout pour le répertoire ''/ | ||
+ | < | ||
+ | $ auditctl -w /etc | ||
+ | </ | ||
+ | ===== ausearch ===== | ||
+ | Permet de rechercher dans les logs d' | ||
+ | * Cherche tout ce qui a été exécuté par le binaire '' | ||
+ | < | ||
+ | $ ausearch -i -ts today -x cat -k gigix-open | ||
+ | ---- | ||
+ | type=PROCTITLE msg=audit(18/ | ||
+ | type=PATH msg=audit(18/ | ||
+ | type=CWD msg=audit(18/ | ||
+ | type=SYSCALL msg=audit(18/ | ||
+ | </ | ||
+ | |||
+ | * Recherche dans la journée courante tout ce qui est en rapport avec l'uid '' | ||
+ | < | ||
+ | $ ausearch --start today --loginuid 33 --raw | aureport -f --summary | ||
+ | </ | ||
+ | ===== aureport ===== | ||
+ | Affiche des rapports. | ||
+ | |||
+ | * Affiche les authentification en échec de la journée : | ||
+ | < | ||
+ | $ aureport --auth --failed -ts today | ||
+ | |||
+ | Authentication Report | ||
+ | ============================================ | ||
+ | # date time acct host term exe success event | ||
+ | ============================================ | ||
+ | 1. 18/08/2015 00:09:55 ? ? ? / | ||
+ | 2. 18/08/2015 00:09:55 ? ? ? / | ||
+ | 3. 18/08/2015 00:09:56 ? ? ? / | ||
+ | 4. 18/08/2015 00:09:56 ? ? ? / | ||
+ | 5. 18/08/2015 00:09:56 ? ? ? / | ||
+ | 6. 18/08/2015 00:09:56 ? ? ? / | ||
+ | 7. 18/08/2015 00:09:56 ? ? ? / | ||
+ | 8. 18/08/2015 00:09:57 ? ? ? / | ||
+ | 9. 18/08/2015 00:09:57 ? ? ? / | ||
+ | 10. 18/08/2015 00:10:16 shell pepsite.fr ssh / | ||
+ | 11. 18/08/2015 00:23:52 linux pepsite.fr ssh / | ||
+ | 12. 18/08/2015 00:37:26 unix pepsite.fr ssh / | ||
+ | 13. 18/08/2015 00:46:06 data 123.151.22.194 ssh / | ||
+ | 14. 18/08/2015 01:44:51 www-data 123.151.22.194 ssh / | ||
+ | 15. 18/08/2015 02:44:10 http 123.151.22.194 ssh / | ||
+ | 16. 18/08/2015 02:49:05 admin 93.99.96.49 ssh / | ||
+ | 17. 18/08/2015 03:46:50 httpd 123.151.22.194 ssh / | ||
+ | 18. 18/08/2015 04:48:28 nobody 123.151.22.194 ssh / | ||
+ | 19. 18/08/2015 09:24:06 root 138.0.255.113 ssh / | ||
+ | 20. 18/08/2015 09:29:22 admin 46.72.171.170 ssh / | ||
+ | </ | ||
+ | |||
+ | * Affiche les événement en échec de la journée | ||
+ | < | ||
+ | root@ns325358: | ||
+ | |||
+ | Event Report | ||
+ | =================================== | ||
+ | # date time event type auid success | ||
+ | =================================== | ||
+ | 1. 18/08/2015 00:09:55 141386 USER_AUTH unset no | ||
+ | 2. 18/08/2015 00:09:55 141387 USER_AUTH unset no | ||
+ | 3. 18/08/2015 00:09:56 141388 USER_AUTH unset no | ||
+ | 4. 18/08/2015 00:09:56 141389 USER_AUTH unset no | ||
+ | 5. 18/08/2015 00:09:56 141390 USER_AUTH unset no | ||
+ | 6. 18/08/2015 00:09:56 141391 USER_AUTH unset no | ||
+ | 7. 18/08/2015 00:09:56 141392 USER_AUTH unset no | ||
+ | 8. 18/08/2015 00:09:57 141393 USER_AUTH unset no | ||
+ | 9. 18/08/2015 00:09:57 141394 USER_AUTH unset no | ||
+ | 10. 18/08/2015 00:10:16 141407 USER_AUTH unset no | ||
+ | 11. 18/08/2015 00:23:52 141452 USER_AUTH unset no | ||
+ | 12. 18/08/2015 00:37:26 141503 USER_AUTH unset no | ||
+ | 13. 18/08/2015 00:46:06 141542 USER_AUTH unset no | ||
+ | 14. 18/08/2015 01:44:51 141735 USER_AUTH unset no | ||
+ | 15. 18/08/2015 02:44:10 141929 USER_AUTH unset no | ||
+ | 16. 18/08/2015 02:49:05 141946 USER_AUTH unset no | ||
+ | 17. 18/08/2015 03:46:50 142448 USER_AUTH unset no | ||
+ | 18. 18/08/2015 04:48:28 142760 USER_AUTH unset no | ||
+ | 19. 18/08/2015 09:24:06 143767 USER_AUTH unset no | ||
+ | 20. 18/08/2015 09:29:22 143783 USER_AUTH unset no | ||
+ | 21. 18/08/2015 12:05:28 144429 SYSCALL root no | ||
+ | 22. 18/08/2015 12:05:28 144430 SYSCALL root no | ||
+ | 23. 18/08/2015 12:05:28 144431 SYSCALL root no | ||
+ | 24. 18/08/2015 12:05:28 144432 SYSCALL root no | ||
+ | </ | ||
+ | |||
+ | * Voir les fichiers de log générés et les dates associées : | ||
+ | < | ||
+ | $ aureport -t | ||
+ | |||
+ | Log Time Range Report | ||
+ | ===================== | ||
+ | / | ||
+ | / | ||
+ | / | ||
+ | / | ||
+ | / | ||
</ | </ | ||
systeme/auditd.txt · Dernière modification : 2015/08/18 11:18 de root