如何配置 auditd 从 /proc 内核文件目录收集日志

如何配置 auditd 从 /proc 内核文件目录收集日志

我已经搜索了大约 3 天,但一无所获。我正在寻找一种方法来在 Splunk 中针对基于 Linux 的凭证转储构建威胁警报。

为此,我需要能够监控/proc目录。我找到了 audit 和 auditd(审计守护进程),但我不知道如何实际配置 auditd 来监控/proc。如果我能做到这一点,我就可以将 audit.log 连接到 Splunk。

我至少想监控:

/proc/<PID>/maps
/proc/<PID>/mem
/proc/<PID>/cmdline

但理想情况下我想监控一切/proc

这里有没有人做过这样的事?如果有的话,我真的很感激你的帮助。

此外:我发现了 klogd(内核日志守护进程)、syslogd 以及 ps 和 top 组合,但我不知道如何将其配置为/proc其中之一,或者这是否是我需要的。

任何建议都值得感激!

我当然也愿意接受其他方法和想法。

答案1

目前有几个选择,其中一个是 Filebeat + Graylog(请参阅https://www.graylog.org/post/back-to-basics-working-with-linux-audit-daemon-log-file)你也可以使用 NXLog 进行 Linux 审计日志记录(请参阅https://nxlog.co/documentation/nxlog-user-guide/linux-audit.html

相关内容