我已经找了大约两天了,但空手而归。我正在寻找一种方法来为 Splunk 中基于 Linux 的凭证转储构建威胁警报。
为此,我需要能够监视该/proc目录。我找到了audit和auditd(审计守护进程),但我不知道如何实际配置auditd来监视/proc.如果我能做到这一点,我就可以连接audit.log到 Splunk。
我想至少监控:
/proc/<PID>/maps/proc/<PID>/mem/proc/<PID>/cmdline
但理想情况下,我想监视/proc.
这里有人做过这样的事吗?如果是这样,我真的很感激一些帮助。
此外,我找到了 klogd(内核日志守护进程),但我不知道如何将其配置为/proc或者如果这正是我所需要的。
我当然对其他方法和想法持开放态度。