Différences

Ci-dessous, les différences entre deux révisions de la page.

--- systeme:auditd [2015/08/18 11:09] – [aureport] root
+++ systeme:auditd [2015/08/18 11:18] (Version actuelle) – [ausearch] root
@@ Ligne 52: / Ligne 52: @@
 </xtermrtf>
-  * Ajouter des régles :
+  * Log les syscall ''open'' pour l'utilisateur qui a l'id ''1000'' (on précise qu'on est sur du 64 bits car les sycall peuvent être différents) et aoute la clé gigix-open (utile pour filtrer dans les logs) :
-    * Log les syscall ''open'' pour l'utilisateur qui a l'id ''1000'' (on précise qu'on est sur du 64 bits car les sycall peuvent être différents) et aoute la clé gigix-open (utile pour filtrer dans les logs) :
 <xtermrtf>
 $ auditctl -a exit,always -F arch=x86_64 -S open -F auid=1000 -k gigix-open
@@ Ligne 82: / Ligne 81: @@
 <xtermrtf>
 $ ausearch --start today --loginuid 33 --raw | aureport -f --summary
+</xtermrtf>
+  * log des login :
+<xtermrtf>
+$ ausearch -m LOGIN --start today -i -ts recent
+----
+type=LOGIN msg=audit(18/08/2015 13:09:01.324:145008) : pid=13252 uid=root old-auid=4294967295 auid=root old-ses=4294967295 ses=2528 res=yes
+----
+type=LOGIN msg=audit(18/08/2015 13:10:01.979:145016) : pid=13284 uid=root old-auid=4294967295 auid=root old-ses=4294967295 ses=2529 res=yes
+</xtermrtf>
+  * Rechercher un id auditd:
+<xtermrtf>
+$ ausearch -a 95581
+----
+time->Thu Aug 13 23:09:01 2015
+type=USER_END msg=audit(1439500141.278:95581): pid=1245 uid=0 auid=0 ses=768 msg='op=PAM:session_close acct="root" exe="/usr/sbin/cron" hostname=? addr=? terminal=cron res=success'
 </xtermrtf>
 ===== aureport =====