我在 cron 中每 5 分钟运行一次 bash 脚本,它基本上运行一些命令,例如:mkdir, top, grep, date, wait, sleep, jstack。它在用户上运行bob。 它生成了大量日志,我想从 auditd 中过滤掉它们。此脚本必须在用户上运行bob,因此我无法专门为该脚本创建新用户并按用户进行过滤。我还想保留生成的其他日志bob。我尝试将 selinux 策略更改为自定义策略,并通过在 auditd 规则中指定此策略来取消过滤。它工作正常,但是由于 selinux 拒绝,现在生成了更多日志。我根据从审计日志中获得的信息进一步调整...
我在 ubuntu 22.04 系统上运行 Plex 媒体服务器 (PMS)。PMS 库已经有一段时间没有更新了,最近我开始向收藏中添加一些电影。但我发现,在添加目录/文件几个小时后,它会从系统中删除,没有任何痕迹。它似乎没有被移动或存档 - 只是被删除了。 有问题的父目录是 /svr/PlexMedia/Movies。例如,我最近添加了这些,但它们在几个小时内就消失了。此后我重新添加了它们: > find /svr/PlexMedia/Movies/Makin* -ls ...
我是 Auditd 的新手,我正在尝试监视某些文件的变化,但我无法让它工作,以下是我的示例规则: -D # this works -a always,exit -F path=/home2/ubuntu/test -F perm=war -F key=test2 # this doesn't -a always,exit -F path=/home/ubuntu/test -F perm=war -F key=test 我总是在编辑规则后重新启动服务。 为了判断它是否有效,我保留了一个带有 的选项卡tail -f /var/log/audit/audit...
我正在尝试在 Debian 10 上的 auditd 中加载一个插件(laurel)。它可以在 Debian 11 上加载并运行,但我需要它在 Debian 10 上运行。我有 laurel 二进制文件/etc/audit/plugins.d。 当我在前台启动 auditd(使用auditd -f)时,它会读取auditd.conf文件并运行文件。但是,我没有看到它加载任何插件。我该如何进一步调试这个问题?为什么它没有加载插件? ...
我正在运行 RHEL7,我的审计日志分区随机(不经常,但足以让我烦恼)损坏,导致我无法启动。我该如何防止分区损坏,或者忽略它并允许系统继续启动?“大锤”答案是可以接受的。 每当系统损坏时,我都会运行umount,然后运行xfs_repair -L,然后运行mount。这可以暂时解决问题,直到下次损坏为止。 auditd -e 2通过或禁用审计是否可以systemctl disable auditd解决这个问题? 如果审计日志分区损坏,有没有办法继续启动(忽略分区)? 如果我也禁用审核,我可以删除分区吗? 我可以将分区置于只读模式吗? 我可以自动检测...
操作系统版本= Red Hat Enterprise Linux 版本 8.6 (Ootpa) 内核版本= 4.18.0-425.3.1.el8.x86_64 我找不到升级/降级的auditd方法auditctl。 我必须更改 的版本auditd/auditctl。 改成哪个版本都无所谓。 目前我使用的是 版本3.0.7。 仅供参考 - 没有被调用的包auditd或auditctl ...
我想在 auditd 规则中使用 -q 标志,但带有 -q 标志的规则不起作用,甚至没有添加到规则列表中。我有这样的规则: -a always,exit -F path=/home/lukashubl/ -q /home/lukashubl/dirtest,/home/lukashubl/dirtest/bin -F perm=rwxa 我正在使用 auditbeat 并收到此错误: flag provided but not defined: -q accessing '0' 我还尝试使用 auditctl 测试该规则: auditctl -a alw...
我是新来的,但我尝试寻找,但不知道该怎么做...... 我有一ec2台 Linux 机器。当用户直接连接到机器时,我可以查看其 ssh ip。现在,当用户这样做时,sudo -s它会被提升为 root,但执行此 sudo 的源 IP 丢失因为它似乎不再是 ssh。 所以我的问题是——如何将真实提升权限用户的源 IP 添加到日志中? 这是我使用的脚本: #!/bin/bash - # command line audit logging function log2syslog { declare COMMAND COMMAND=$(fc -ln -...
我目前正在尝试找出哪个应用程序正在我的主目录中创建一个名为“no”的神秘套接字文件。这种情况每隔几周才会发生一次,这就是为什么我使用以下规则设置了 auditd /etc/audit.d/rules.d/no: # This is to clear out old rules, so we don't append to them. -D # Feel free to add below this line. See auditctl man page -w /home/philipp/no 运行一些测试touch /home/philipp/no确认此...
我希望所有 auditd 日志都只放在它自己的日志文件中,并保持我的 journalctl 视图较少受到大多数时候由我自己的操作(单用户/个人计算机)生成的事件的污染。 我已经找到了如何完全禁用auditd或禁用审计事件的日志记录(?)拱门维基,然后我看了一下auditd.conf实际上log_file填写了一个选项,但它指向的文件不存在,所有内容都只是记录到日志中。 # /etc/audit/auditd.conf local_events = yes write_logs = yes log_file = /var/log/audit/audit.lo...
今天我的 CentOS 8 突然冻结,不响应用户输入。当我尝试从控制台登录时,我看到如下消息: audit: backlog limit exceeded audit: backlog limit exceeded audit: backlog limit exceeded 使用 rd.break 方法启动到救援模式https://www.linuxtechi.com/boot-centos-8-rhel-8-single-user-mode/并使用中提到的步骤查找导致积压限制超出的原因https://www.hungred.com/how-to/back...
在我的 中/etc/audit/audit.rules,我有以下手表: -w /some/place/special -p rwxa -k my_key 在我的文件系统上,我有以下树: /some/place/special/foo/test-rename/james/sub-subdirectory1/a_file ...但是当我运行时,日志中没有显示任何事件: mv /some/place/special/foo/test-rename/james/sub-subdirectory1/a_file /some/place/special/f...
我想审计 Linux 服务器上的所有命令。我们都有自己的登录帐户来执行操作,但有时我们需要 root 访问权限。这没问题。但是当我以我的用户身份登录时,我的操作不会被记录。我以任何用户身份登录似乎都没有被记录。 例如: [oracle@testvmol ~]$ ls Desktop Downloads Pictures test Videos Documents Music Public Templates [oracle@testvmol ~]$ rm test [oracle@testvmol ~]$ su -...
我看到 auditd 和 rsyslogd 服务都在运行(在我的 OpenSuse Leap 15 机器上)。快速谷歌搜索没有给出好的答案。 这些服务是否执行相同的工作?例如,我可以删除其中一个并配置另一个来记录相同的事件吗? 或者它们互相补充?即一个人渴望一些事件,而另一个人不渴望。 或者它们在某种程度上是相互依赖的?也就是说,一个不能脱离另一个而发挥作用? 也许有人知道一篇好文章,解释 Linux 审计/日志收集选项及其之间的区别以及 Linux 审计的一般工作原理? ...
我最初的问题描述如下:https://serverfault.com/questions/958571/what-these-dns-queries-means。这是关于 UDP 数据包的,我无法确定其来源。为了解决这个问题,我遵循了用户 @AB 的建议,即:https://serverfault.com/questions/192893/how-i-can-identify-which-process-is-making-udp-traffic-on-linux/193088#193088根据这个建议我已经安装了auditd,显然是成功的: audi...