Différences

Ci-dessous, les différences entre deux révisions de la page.

--- systeme:auditd [2015/08/18 10:26] – [auditctl] root
+++ systeme:auditd [2015/08/18 11:14] – [auditctl] root
@@ Ligne 52: / Ligne 52: @@
 </xtermrtf>
-  * Ajouter des régles :
+  * Log les syscall ''open'' pour l'utilisateur qui a l'id ''1000'' (on précise qu'on est sur du 64 bits car les sycall peuvent être différents) et aoute la clé gigix-open (utile pour filtrer dans les logs) :
-    * Log les syscall ''open'' pour l'utilisateur qui a l'id ''1000'' (on précise qu'on est sur du 64 bits car les sycall peuvent être différents) et aoute la clé gigix-open (utile pour filtrer dans les logs) :
 <xtermrtf>
 $ auditctl -a exit,always -F arch=x86_64 -S open -F auid=1000 -k gigix-open
@@ Ligne 63: / Ligne 62: @@
 </xtermrtf>
+  * Log tout pour le répertoire ''/etc'' :
+<xtermrtf>
+$ auditctl -w /etc
+</xtermrtf>
 ===== ausearch =====
 Permet de rechercher dans les logs d'auditd.
+  * Cherche tout ce qui a été exécuté par le binaire ''cat'' dans la journée et donc la clé est ''gigix-open'' :
 <xtermrtf>
-$ ausearch -i -f /etc/passwd -k gigix-open
+$ ausearch -i -ts today -x cat -k gigix-open
 ----
 type=PROCTITLE msg=audit(18/08/2015 12:05:30.715:144502) : proctitle=cat
@@ Ligne 74: / Ligne 78: @@
 </xtermrtf>
+  * Recherche dans la journée courante tout ce qui est en rapport avec l'uid ''33'' et crée un rapport sur les fichiers qu'il a ouvert :
+<xtermrtf>
+$ ausearch --start today --loginuid 33 --raw | aureport -f --summary
+</xtermrtf>
 ===== aureport =====
 Affiche des rapports.
@@ Ligne 79: / Ligne 87: @@
   * Affiche les authentification en échec de la journée :
 <xtermrtf>
-aureport --auth --failed -ts today
+$ aureport --auth --failed -ts today
 Authentication Report
@@ Ligne 105: / Ligne 113: @@
 . 18/08/2015 09:24:06 root 138.0.255.113 ssh /usr/sbin/sshd no 143767
 . 18/08/2015 09:29:22 admin 46.72.171.170 ssh /usr/sbin/sshd no 143783
+</xtermrtf>
+  * Affiche les événement en échec de la journée
+<xtermrtf>
+root@ns325358:~# aureport -i -e --failed -ts today
+Event Report
+===================================
+# date time event type auid success
+===================================
+. 18/08/2015 00:09:55 141386 USER_AUTH unset no
+. 18/08/2015 00:09:55 141387 USER_AUTH unset no
+. 18/08/2015 00:09:56 141388 USER_AUTH unset no
+. 18/08/2015 00:09:56 141389 USER_AUTH unset no
+. 18/08/2015 00:09:56 141390 USER_AUTH unset no
+. 18/08/2015 00:09:56 141391 USER_AUTH unset no
+. 18/08/2015 00:09:56 141392 USER_AUTH unset no
+. 18/08/2015 00:09:57 141393 USER_AUTH unset no
+. 18/08/2015 00:09:57 141394 USER_AUTH unset no
+. 18/08/2015 00:10:16 141407 USER_AUTH unset no
+. 18/08/2015 00:23:52 141452 USER_AUTH unset no
+. 18/08/2015 00:37:26 141503 USER_AUTH unset no
+. 18/08/2015 00:46:06 141542 USER_AUTH unset no
+. 18/08/2015 01:44:51 141735 USER_AUTH unset no
+. 18/08/2015 02:44:10 141929 USER_AUTH unset no
+. 18/08/2015 02:49:05 141946 USER_AUTH unset no
+. 18/08/2015 03:46:50 142448 USER_AUTH unset no
+. 18/08/2015 04:48:28 142760 USER_AUTH unset no
+. 18/08/2015 09:24:06 143767 USER_AUTH unset no
+. 18/08/2015 09:29:22 143783 USER_AUTH unset no
+. 18/08/2015 12:05:28 144429 SYSCALL root no
+. 18/08/2015 12:05:28 144430 SYSCALL root no
+. 18/08/2015 12:05:28 144431 SYSCALL root no
+. 18/08/2015 12:05:28 144432 SYSCALL root no
+</xtermrtf>
+* Voir les fichiers de log générés et les dates associées :
+<xtermrtf>
+$ aureport -t
+Log Time Range Report
+=====================
+/var/log/audit/audit.log.4: 13/08/2015 22:50:14.976 - 13/08/2015 23:04:25.972
+/var/log/audit/audit.log.3: 13/08/2015 23:04:26.004 - 13/08/2015 23:37:11.445
+/var/log/audit/audit.log.2: 13/08/2015 23:37:50.420 - 14/08/2015 19:58:25.190
+/var/log/audit/audit.log.1: 14/08/2015 19:58:28.666 - 16/08/2015 13:18:13.688
+/var/log/audit/audit.log: 16/08/2015 13:18:28.396 - 18/08/2015 13:07:08.766
 </xtermrtf>