Dokuwiki

Outils pour utilisateurs

Outils du site

Piste :
systeme:auditd

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
systeme:auditd [2015/08/18 10:54] – [ausearch] rootsysteme:auditd [2015/08/18 11:18] (Version actuelle) – [ausearch] root
Ligne 52: Ligne 52:
 </xtermrtf> </xtermrtf>
  
-  * Ajouter des régles : +  * Log les syscall ''open'' pour l'utilisateur qui a l'id ''1000'' (on précise qu'on est sur du 64 bits car les sycall peuvent être différents) et aoute la clé gigix-open (utile pour filtrer dans les logs) :
-    * Log les syscall ''open'' pour l'utilisateur qui a l'id ''1000'' (on précise qu'on est sur du 64 bits car les sycall peuvent être différents) et aoute la clé gigix-open (utile pour filtrer dans les logs) :+
 <xtermrtf> <xtermrtf>
 $ auditctl -a exit,always -F arch=x86_64 -S open -F auid=1000 -k gigix-open $ auditctl -a exit,always -F arch=x86_64 -S open -F auid=1000 -k gigix-open
Ligne 69: Ligne 68:
 ===== ausearch ===== ===== ausearch =====
 Permet de rechercher dans les logs d'auditd. Permet de rechercher dans les logs d'auditd.
 +  * Cherche tout ce qui a été exécuté par le binaire ''cat'' dans la journée et donc la clé est ''gigix-open'' :
 <xtermrtf> <xtermrtf>
 $ ausearch -i -ts today -x cat -k gigix-open $ ausearch -i -ts today -x cat -k gigix-open
Ligne 78: Ligne 78:
 </xtermrtf> </xtermrtf>
  
 +  * Recherche dans la journée courante tout ce qui est en rapport avec l'uid ''33'' et crée un rapport sur les fichiers qu'il a ouvert :
 +<xtermrtf>
 +$ ausearch --start today --loginuid 33 --raw | aureport -f --summary
 +</xtermrtf>
 +
 +  * log des login :
 +<xtermrtf>
 +$ ausearch -m LOGIN --start today -i -ts recent
 +----
 +type=LOGIN msg=audit(18/08/2015 13:09:01.324:145008) : pid=13252 uid=root old-auid=4294967295 auid=root old-ses=4294967295 ses=2528 res=yes
 +----
 +type=LOGIN msg=audit(18/08/2015 13:10:01.979:145016) : pid=13284 uid=root old-auid=4294967295 auid=root old-ses=4294967295 ses=2529 res=yes
 +</xtermrtf>
 +
 +  * Rechercher un id auditd:
 +<xtermrtf>
 +$ ausearch -a 95581
 +----
 +time->Thu Aug 13 23:09:01 2015
 +type=USER_END msg=audit(1439500141.278:95581): pid=1245 uid=0 auid=0 ses=768 msg='op=PAM:session_close acct="root" exe="/usr/sbin/cron" hostname=? addr=? terminal=cron res=success'
 +</xtermrtf>
 ===== aureport ===== ===== aureport =====
 Affiche des rapports. Affiche des rapports.
Ligne 144: Ligne 165:
 24. 18/08/2015 12:05:28 144432 SYSCALL root no 24. 18/08/2015 12:05:28 144432 SYSCALL root no
 </xtermrtf> </xtermrtf>
 +
 +* Voir les fichiers de log générés et les dates associées :
 +<xtermrtf>
 +$ aureport -t
 +
 +Log Time Range Report
 +=====================
 +/var/log/audit/audit.log.4: 13/08/2015 22:50:14.976 - 13/08/2015 23:04:25.972
 +/var/log/audit/audit.log.3: 13/08/2015 23:04:26.004 - 13/08/2015 23:37:11.445
 +/var/log/audit/audit.log.2: 13/08/2015 23:37:50.420 - 14/08/2015 19:58:25.190
 +/var/log/audit/audit.log.1: 14/08/2015 19:58:28.666 - 16/08/2015 13:18:13.688
 +/var/log/audit/audit.log: 16/08/2015 13:18:28.396 - 18/08/2015 13:07:08.766
 +</xtermrtf>
 +
 ===== autrace ===== ===== autrace =====
 Une sorte d'équivalent à **strace** : Une sorte d'équivalent à **strace** :
systeme/auditd.1439895261.txt.gz · Dernière modification : de root