タグ付けされた質問 「audit」

Linuxマシンlsof でその時点で使用しているプロセスの開いているファイルを表示できることを知っています。ただし、プロセスはファイルを非常に迅速に開いたり、変更したり閉じたりすることができるためwatch、「Linuxで開いているプロセスファイルを監視する（リアルタイム）」で説明されているように、標準のシェルスクリプト（たとえば）を使用して監視すると表示できません。 だから、私はプロセスを監査する簡単な方法を探していて、それが時間の経過とともに何をしてきたかを見ると思います。監査を開始せずにプロセスを実行する時間をとる前に、どのネットワーク接続（試行）が行われたかを確認し、監査を開始できるようにすることもできれば素晴らしいことです。 理想的には、私はこれをしたいと思います： sh $ audit-lsof /path/to/executable 4530.848254 OPEN read /etc/myconfig 4530.848260 OPEN write /var/log/mylog.log 4540.345986 OPEN read /home/gert/.ssh/id_rsa <-- suspicious 4540.650345 OPEN socket TCP ::1:34895 -> 1.2.3.4:80 | [...] 4541.023485 CLOSE /home/gert/.ssh/id_rsa <-- would have missed 4541.023485 CLOSE socket TCP ::1:34895 -> 1.2.3.4:80 | this when polling straceすべてのシステムコールを表示しないフラグといくつかのフラグを使用してこれは可能でしょうか？

41 process  open-files  lsof  audit 

bashプロンプトから実行時間の長いプロセスを実行しました。後知恵で、私timeはそれを実行したい、または私がそれを開始した時間を書き留めたいと思います。 この情報を遡及的に取得する方法はありますか？.bash_historyタイムスタンプを含めるようには見えません。 私の場合はMac OS Xですが、一般的なUnix / Linuxソリューションに興味があります。 明確にするために、プロセスは完了しました。どうしても必要な場合を除き、再度実行しないことをお勧めします。

22 bash  osx  command-history  timestamps  audit 

できます auditctl -a always,exit -S all -F pid=1234 pid 1234によって行われたすべてのシステムコールをログに記録するには： auditctl -a always,exit -S all -F ppid=1234 その子供たちのために、しかし、どのように私は孫と彼らの子供たち（同様に現在と未来）もカバーしますか？ 変更する（e）uid /（e）gidに依存することはできません。 （使用straceもオプションではないことに注意してください）

13 linux  audit  linux-audit 

ショートバージョン：Fedoraシステムで監査メッセージ（dmesg）を無効にする方法は？ Fedoraシステムは、「監査：成功」メッセージをdmesgに記録し続けます-そのような極端な方法で、dmesgはこれらのメッセージで満たされるため（dmesg | grep -v audit空）、使用できなくなります。これらのメッセージは、毎日の内部プロセスが成功したことをユーザーに明らかに伝えたいので、完全に役に立たないものです（何かをデバッグするときに興味深いかもしれませんが、この場合は単なるノイズです）。 コマンドラインインターフェース（X以外のttyにCtrl+ Alt+で切り替える場合F2）でも、これらの監査メッセージが常に散らかっているため使用できなくなり、実際にユーザーが実行したコマンドの出力を読み取ることができなくなりました。たとえば、ユーザー名（ログイン）を入力すると、監査メッセージが出力されます（何かが正常にフォーマット/印刷されたことをユーザーに通知しているようです）。 監査：タイプ= 1131監査（1446913801.945：10129）：pid = 1 uid = 0 auid = 4294967295 ses = 4294967295 msg = 'unit = fprintd comm = "systemd" exe = "/ usr / lib / systemd / systemd" hostname =？addr =？ターミナル=？res =成功 ' これらのメッセージのほとんどは「成功」を示しているようですが、このキーワードを含まない多くの監査メッセージもあります。Chromiumを実行すると、次の数百がトリガーされます。 監査：タイプ= 1326監査（1446932349.568：10307）：auid = 500 uid …

11 linux  fedora  systemd  networkmanager  audit 

特定のインスタンス化をログに記録して、rrdtool受信したパスが正しくないかどうかを確認する方法を見つけようとしています。 パラメータをログに記録するシェルスクリプトで実行可能ファイルをラップできることはわかっていますが、それを監視するためのよりカーネル固有の方法、特定の/ proc / pid / exe指定されたバイナリと一致しますか？

11 logs  proc  arguments  audit 

ファイル履歴を提供するファイルを変更したユーザーのリストを表示するコマンドはありますか？ 私はsvn / gitなどでそれが可能であることを知っていますが、SVNにない構成ファイルがあり、誰かがそれを変更しました。

9 linux  files  audit 

sudo権限が制限されているこのユーザーがいますが、彼は時々台無しにしています。私は彼の冒険に目を光らせて、掘り下げることなくダメージを元に戻すことができるようにしたいと思います。理想的には、以下の機能が適切に統合され、表示できるサービスが欲しいです トラックは次のように入力と出力のシェルttyrec（またはscriptまたはsudoロギングが設定されている場合）とttyplay（などのセッション再生できるscriptreplayかをsudoreplay）互換性のncursesプログラムに必要な素敵ではなくなり、ttyrec明らかにそれを行うことができます。 ファイルのアクセス、作成、変更を追跡します。理想的には、ファイルが変更または削除されるたびにバックアップすることもできます。 これまでのところ、要求された機能のほとんどを取得するためにセットアップしなければならないいくつかのツールを見つけましたが、それらをうまく統合するOSS製品に出会ったことはありません（Lynisコミュニティエディションでは機能が明確ではありません）。 。 シェルIOをログに記録するためにttyrec $(mktemp)、script $(mktemp)またはsudo -u $USER -i（sudoロギングが設定されている場合は）彼.bashrcに置くことができます。 いくつかのdirsにあるファイルへのアクセスを追跡するために監査を設定、のような/usr、/etc、/var。 ログイン時にLVMスナップショットを作成しますが、これは少しやり過ぎであり、システムのパフォーマンスを低下させる可能性があります。 編集： ttyrecのより良い代替手段のようですscript、それは私のすべてのIOロギング要件を満たします。次に、ファイル操作をログに記録するための適切な方法を見つける必要があります。 ベストプラクティスの提案や推奨に感謝します。

8 linux  bash  debian  audit  typescript 

管理しているシステムのすべてのユーザーの履歴設定を変更したいと思います。以下のような接続端末からの情報を含めたいwho sysadmin:/ # who sysadmin pts/0 Mar 26 07:11 (sysadmin.doofus.local) 現在、以下の方法で履歴を変更しています。これらの設定の多くがここで何度か取り上げられていることは知っています。ただし、私はこのコードを「Linuxシステム管理レシピ：Juliet Kemp」から抜粋してずっと前に作成しました。 shopt -s histappend PROMPT_COMMAND='history -n;history -a' HISTSIZE=100000 HISTFILESIZE=100000 HISTTIMEFORMAT="%m/%d/%y %T " shopt -s histappend 複数の端末を開いているときの問題が修正され、情報が失われる場合があります。 PROMPT_COMMAND='history -n;history -a' 複数の端末間で履歴にリアルタイムで追加できるように拡張されています。 HISTSIZE=100000 HISTFILESIZE=100000history保存 期間を延長します HISTTIMEFORMAT="%m/%d/%y %T "履歴の各行の前にタイムスタンプを付けます 通常得られるもの history 835 ls 836 cd .. 私が変更した現在のhistory結果 5853 03/26/12 07:16:49 ls 5854 …

8 shell  users  command-history  audit 

WindowsにはEventID 1102 "監査ログがクリアされました"があります。Unix / Linuxの同等の監査イベントとは何ですか？ サンプルイベントがあり、このイベントを取得するためにどの監査ポリシーを設定する必要があるかがわかっている場合は、それも投稿してください。

1 linux  audit  logs