我有一台运行 auditd 和 prelude 的服务器,其中装有 audisdp-prelude 插件。目前,我收到几种类型的登录事件,如 sshd 和 gdm。但是,我似乎从未收到过 vsftpd 的登录信息。我知道我可以更改 vsftpd 的配置,使其输出到文件,然后使用 prelude-lml 解析该文件,但我真的希望 auditd 向我发送事件,这样我就不必这样做了。我可以看到 auditd 确实在审核登录,但出于某种原因,它不会像处理其他所有登录一样转发它们。我正在运行一个单独的 prelude-manager 服务器,我正尝试使用它来收集所有值得注意的事件。
答案1
抱歉耽误了。你修好了吗?如果没有,http://www.sriramrajan.com/mw/index.php/Linux-Auditd可能会有用。
一般来说...为了使用审计功能,您需要使用以下实用程序 => auditctl - 一个帮助控制内核审计系统的命令。您可以获取状态,并在内核审计系统中添加或删除规则。使用以下命令设置文件监视:
=> ausearch - 可以根据不同的搜索条件查询审计守护进程日志中的事件的命令。
它说....通过 syslog 将您的 vsftpd 日志导出到文件中,并从 auditd 进行过滤。这与您对 prelude-lml 的想法类似。