SELinux 不允许auditd启动进程(命名myplagin)并且不在/var/log/audit/audit.log.我在/var/log/messages:中发现的唯一提及拒绝的内容Centos8 auditd[3119]: Unable to stat /home/cust/myplagin (Permission denied),但我希望看到audit.log 样式的拒绝 ( type=AVC msg=audit(1705309402.866:1150): avc: denied) 以了解需要将哪些新规则添加到策略中。 如果将 SELinux ...
我有一个 RHEL 服务器,在其中配置了审核规则来记录特定事件。我想将这些日志转发到远程系统日志服务器。我找不到转发这些特定日志的方法,因此我配置了将所有审核日志转发到远程服务器,因为远程系统日志服务器中的 /var/log 经常变满。我有两种方法来解决这个问题,但我都找不到技术解决方案。 将该特定规则的事件记录到单独的日志文件中,或者如果可能,直接记录到远程系统日志服务器 仅将特定规则生成的审核日志转发到远程系统日志服务器 任何其他解决方案都非常感激。 ...
是否可以仅通过在系统重新启动后加载规则的方式从 LAS 配置auditd 系统? 目前的情况是,它需要通过 重新启动服务systemctl restart auditd,但是,我很想知道是否有办法使其在下次重新启动之前无效? 我查看了网络,但似乎当前的配置文件没有此类选项,您知道吗? ...
我遇到过这样的情况:全新安装 RHEL 8.8 并auditd运行给定/etc/audit/rules.d/audit.rules文件会产生/var/log/audit/audit.log大于 4GB 的文件。这是因为我拥有系统上唯一的用户帐户,我是唯一登录的人,并且执行了cp -rp /data/* /backup/. FWIW/data当我执行cp -rp.该/data文件夹包含超过 50TB 的数据。 /backup 上的文件系统从 RHEL 7.9 开始为 XFS_4.0 /data,从 RHEL 8.8 开始为 XFS_5.0;服务器 A 和 B...
我有来自auditd 的以下日志消息。他们似乎记录了对套接字的调用。 type=SYSCALL msg=audit(05/11/2023 23:19:52.913:2533) : arch=x86_64 syscall=socket success=yes exit=9 a0=inet a1=SOCK_DGRAM a2=ip a3=0x7f1b009852d0 items=0 ppid=1484 pid=13953 auid=gwill uid=gwill gid=gwill euid=gwill suid=gwill fsuid=gwill egi...
我想使用审核来监视对文件的访问,因此添加了以下规则 -w /home/test.txt -k monitoring-test 我重新加载了规则 ( sudo service auditd restart) 并修改了文件/home/test.txt,但是,日志不会使用该键创建任何事件:sudo ausearch -k monitoring-test仅返回添加规则的事件: time->Fri May 5 13:32:19 2023 type=CONFIG_CHANGE msg=audit(1682311231.581:1719): auid=1000 ...
我想按照 SELinux 所说的解决这个问题。 SELinux is preventing /usr/local/bin/php from read access on the file /web/inc/init_db.inc.php. 控制台的输出是: [root@rhel ~]# ausearch -c 'php' --raw | audit2allow -M my-php compilation failed: my-php.te:15:ERROR 'syntax error' at token 'mlsconstrain' on line 15:...
我有一个基于 PHP/Apache2 的 Web 服务,我想审核它所做的每个文件 IO 操作。 我按照推荐使用auditd这里。 我这样设置audit.d ## enable ruleset -e 1 ## limit rate -r 1000 ## monitor -w /var/www/html/my/path/ -p rwxa -k toplevel_my_app auditd.conf 保留为默认值。 每当我用任何程序触摸任何内容时,它都会按预期/var/www/html/my/path/登录。/var/www/html/my/path/但是当...
我正在使用auditd。我不想在auditd中收集有关cron的日志,但它会收集cron。如果我不想收集aunditd日志,如何在audit.rules中制定规则 我写了auditctl -a never,exit -F exe=/usr/sbin/cron 但它不起作用 ...
我正在努力完成 AuditD 的以下任务 应该监视 /etc/passwd 的任何访问,无论是否使用 cat 或 sudo cat...好吧,简单。但我还应该阻止auditd记录任何其他不用于访问/etc/passwd的sudo命令 我现在完全迷失了。通过 -S execve 记录每个 sudo 命令很容易,但只有 sudo /etc/passwd 让我头疼。 ...
我喜欢使用 dmesg 打开终端,这样我就可以实时查看日志。然而,审计日志相当长,我想知道是否有一种方法可以在消息发送到内核环形缓冲区之前过滤消息(也许使用 sed/awk?)? 例如, audit: type=1105 audit(166671842.234:346): pid=8324 uid=1000 auid=1000 ses=1 msg'op=PAM:session_open grantors=pam_systemd_home,pam_limits,pam_unix,pam_permit acct="root" exe="/usr/bin/sudo...
我auditd在 Ubuntu 中尝试应用一些规则,但每次编辑audit.rules文件并重新启动auditd守护进程时,它都会生成一个新文件。我怎样才能保留相同的文件? ...
我有一个需要访问的服务帐户/var/log/audit/audit.log,并且由于该用户不应该属于该root组,我也不想更改文件的所有权或组,所以我决定实施文件 ACL。 问题是,当auditd旋转文件时,旋转的文件没有根据手册页acl(5)和setfacl(1). 这是父目录的文件 ACL,包括默认 ACL: > getfacl /var/log/audit # file: var/log/audit # owner: root # group: root user::rwx user:srv_usr:r-x group::--- mask::r-...
我有一个系统正在为我们称之为“已编辑”的特定帐户获取大量审核流量。日志显示该帐户正在执行 su 命令。我的第一反应是检查规则etc/audit/rules.d并禁用任何与该帐户有关的规则su,并添加禁止记录该帐户的规则。我仍在获取这些日志,因此我删除了审核规则以得到一张白纸。 ( auditctl -l No Rules) 我仍然看到这些日志,所以我的问题是这些日志是否来自 PAM 模块,有没有办法抑制它们? type=CRED_DISP msg=audit(1652729209.332:1763023): pid=375379 uid=0 auid=429...
我们最近意识到我们当前的auditd配置导致我们的/var/log/audit文件系统变满,所以我开始使用/etc/audit/auditd.conf文件来尝试修复这个问题。我修改了conf文件,如下所示: # # This file controls the configuration of the audit daemon # log_file = /var/log/audit/audit.log log_format = RAW log_group = root priority_boost = 4 flush = INCREMENTAL freq ...