我是新来的,但我尝试寻找,但不知道该怎么做...... 我有一ec2台 Linux 机器。当用户直接连接到机器时,我可以查看其 ssh ip。现在,当用户这样做时,sudo -s它会被提升为 root,但执行此 sudo 的源 IP 丢失因为它似乎不再是 ssh。 所以我的问题是——如何将真实提升权限用户的源 IP 添加到日志中? 这是我使用的脚本: #!/bin/bash - # command line audit logging function log2syslog { declare COMMAND COMMAND=$(fc -ln -...
我目前正在尝试找出哪个应用程序正在我的主目录中创建一个名为“no”的神秘套接字文件。这种情况每隔几周才会发生一次,这就是为什么我使用以下规则设置了 auditd /etc/audit.d/rules.d/no: # This is to clear out old rules, so we don't append to them. -D # Feel free to add below this line. See auditctl man page -w /home/philipp/no 运行一些测试touch /home/philipp/no确认此...
我希望所有 auditd 日志都只放在它自己的日志文件中,并保持我的 journalctl 视图较少受到大多数时候由我自己的操作(单用户/个人计算机)生成的事件的污染。 我已经找到了如何完全禁用auditd或禁用审计事件的日志记录(?)拱门维基,然后我看了一下auditd.conf实际上log_file填写了一个选项,但它指向的文件不存在,所有内容都只是记录到日志中。 # /etc/audit/auditd.conf local_events = yes write_logs = yes log_file = /var/log/audit/audit.lo...
今天我的 CentOS 8 突然冻结,不响应用户输入。当我尝试从控制台登录时,我看到如下消息: audit: backlog limit exceeded audit: backlog limit exceeded audit: backlog limit exceeded 使用 rd.break 方法启动到救援模式https://www.linuxtechi.com/boot-centos-8-rhel-8-single-user-mode/并使用中提到的步骤查找导致积压限制超出的原因https://www.hungred.com/how-to/back...
在我的 中/etc/audit/audit.rules,我有以下手表: -w /some/place/special -p rwxa -k my_key 在我的文件系统上,我有以下树: /some/place/special/foo/test-rename/james/sub-subdirectory1/a_file ...但是当我运行时,日志中没有显示任何事件: mv /some/place/special/foo/test-rename/james/sub-subdirectory1/a_file /some/place/special/f...
我想审计 Linux 服务器上的所有命令。我们都有自己的登录帐户来执行操作,但有时我们需要 root 访问权限。这没问题。但是当我以我的用户身份登录时,我的操作不会被记录。我以任何用户身份登录似乎都没有被记录。 例如: [oracle@testvmol ~]$ ls Desktop Downloads Pictures test Videos Documents Music Public Templates [oracle@testvmol ~]$ rm test [oracle@testvmol ~]$ su -...
我看到 auditd 和 rsyslogd 服务都在运行(在我的 OpenSuse Leap 15 机器上)。快速谷歌搜索没有给出好的答案。 这些服务是否执行相同的工作?例如,我可以删除其中一个并配置另一个来记录相同的事件吗? 或者它们互相补充?即一个人渴望一些事件,而另一个人不渴望。 或者它们在某种程度上是相互依赖的?也就是说,一个不能脱离另一个而发挥作用? 也许有人知道一篇好文章,解释 Linux 审计/日志收集选项及其之间的区别以及 Linux 审计的一般工作原理? ...
我最初的问题描述如下:https://serverfault.com/questions/958571/what-these-dns-queries-means。这是关于 UDP 数据包的,我无法确定其来源。为了解决这个问题,我遵循了用户 @AB 的建议,即:https://serverfault.com/questions/192893/how-i-can-identify-which-process-is-making-udp-traffic-on-linux/193088#193088根据这个建议我已经安装了auditd,显然是成功的: audi...
我对此还很陌生。 我正在对网络进行审计,并将为其绘制网络图。 我已经使用 nmap 扫描获得了 IP 地址列表,我可以看到大约 5 个网络。 我面临的问题是我看不到直接连接的路由器。 我尝试了 tracert,并且我得到的第一跳是 APIPA 地址,第二个 IP 我相信是 ISP 地址。 如果有帮助的话,我正在通过 VPN 远程执行此操作。 有人可以解释一下我错在哪里,或者我可能没有理解什么。 谢谢 ...
我想实时跟踪我的审计日志,以便观察事件,并通过 praudit 管道传输,使其易于阅读。以下所有命令均以 root 身份运行。 当我运行时tail -f /var/audit/current | praudit,它只打印最后 5 行并立即退出。而tail -f /var/audit/current | cat等待并打印出写入的原始审计日志。praudit和之间的本质区别是什么cat?它们都声称从 stdin 读取,它们似乎都这样做了,只是在praudit没有等待 EOF 的情况下放弃了?或者其他什么? 很想知道为什么会出现这种情况,以及是否有办法以某种方...
我在 auditd 中使用了一条规则: -w /etc -p wa -k watch_etc 但是在使用检查报告时,ausearch -k watch_etc -ts today | aureport -f -i 我似乎找不到我在目录中所做的更改/etc/auditd/rules.d/。 但是,在下创建一个文件/etc/将在报告上创建一个我使用touch命令的条目。 2019/01/24 09:11:03 测试打开是 /usr/bin/touch root 7441 ...
我正在审计 nfs 共享中的文件。当我使用命令查看审计日志时ausearch -f /var/nfs/general,我得到了一些如下所示的日志: 在服务器端: time->Tue Jun 12 16:23:34 2018 type=PROCTITLE msg=audit(1528800814.660:2782): proctitle=636174002F7661722F6E66732F67656E6572616C2F6E6673312E747874 type=PATH msg=audit(1528800814.660:2782): item=0 ...
我一直在研究 Linux 上的日志记录,但遇到了一个障碍,让我在过去几天里陷入了困境。我的目标是将运行 OpenSUSE Tumbleweed (aarch64) 的两个 raspberry pi 3 的日志转发到运行 Ubuntu 17.04 的笔记本电脑上。我使用rsyslog它来实现这一点,它被用作imjournal源,因为我想将日志存储为 json 格式,并附带 systemd-journal 提供的所有额外元数据,然后再使用它。 我试图解决的问题是缺少_TRANSPORT=auditRaspberry Pi。我重新编译了systemd其中audi...
我现在患有audit : backlog limit exceeded。 我发现了一些具有类似情况的文章,他们说用它来调整审计日志计数audit.rules。 这是我的audit.rules ## This file is automatically generated from /etc/audit/rules.d -D -b 320 我想将其改得320稍微高一些,但我不知道如何设置适当的值。(我甚至不知道这个值与内存或打开文件有关) 通过观察audit.log,我假设它记录了几乎所有与守护进程一起工作的命令。我在机器中安装了 4 个 dock...
我在 Centos 6.5 上运行 AuditD。 有没有办法审计服务器重启- 谁和何时重启服务器?如果我登录并运行: sudo reboot 我应该在 /var/log/audit/audit.log 中看到类似这样的日志条目: type=CMD msg=audit(1484758210.821:630): user pid=2361 uid=101 auid=101 subj=system_u:system_r:unconfined_t:s0-s0:c0.c1023 exe="/sbin/reboot" ...