个人中心
文章发布
退出
作者热门文章
- android - 多次调用 OnPrimaryClipChangedListener
- android - 无法更新 RecyclerView 中的 TextView 字段
- android.database.CursorIndexOutOfBoundsException : Index 0 requested, 光标大小为 0
- android - 使用 AppCompat 时,我们是否需要明确指定其 UI 组件(Spinner、EditText)颜色
24
4
我们正在考虑从 rsyslog 迁移到 auditd,但我还没有找到应用程序应该如何将日志消息输出到 auditd。 (使用 rsyslog 有详细记录)。
最佳答案
您将 auditd 理解为日志记录的替代品是不正确的。 Auditd 不能直接替代 syslog/rsyslog 类型的日志记录。相反,它会根据对内核的系统调用生成日志。
然后 man page解释一下:
auditd is the userspace component to the Linux Auditing System. It's responsible for writing audit records to the disk. Viewing the logs is done with the
ausearchoraureportutilities. Configuring the audit system or loading rules is done with the auditctl utility. During startup, the rules in/etc/audit/audit.rulesare read byauditctland loaded into the kernel. Alternately, there is also anaugenrulesprogram that reads rules located in/etc/audit/rules.d/and compiles them into anaudit.rulesfile. The audit daemon itself has some configuration options that the admin may wish to customize. They are found in theauditd.conffile.
还有一篇很好的 auditd 概述,标题为:A Brief Introduction to auditd :
.... Since it operates at the kernel level this gives us a hook into any system operation we want. We have the option to write a log any time a particular system call happens, whether that be unlink or getpid. We can monitor access to any file, all network traffic, really anything we want. The level of detail is pretty phenomenal and, since it operates at such a low level, the granularity of information is incredibly useful.
我还会指导您阅读本教程,标题为:How To Use the Linux Auditing System on CentOS 7 .您将从 auditd 获得的日志记录类型示例。
type=SYSCALL msg=audit(1434371271.277:135496): arch=c000003e syscall=2 success=yes exit=3 a0=7fff0054e929 a1=0 a2=1fffffffffff0000 a3=7fff0054c390 items=1 ppid=6265 pid=6266 auid=1000 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts0 ses=113 comm="cat" exe="/usr/bin/cat" key="sshconfigchange"
type=CWD msg=audit(1434371271.277:135496): cwd="/home/sammy"
type=PATH msg=audit(1434371271.277:135496): item=0 name="/etc/ssh/sshd_config" inode=392210 dev=fd:01 mode=0100600 ouid=0 ogid=0 rdev=00:00 objtype=NORMAL
这全部来自单个事件,但通过 auditd 记录了 3 条消息。您可以通过 msg=audit(...) 字段判断哪些事件关联。
我给你看这个例子,因为这种类型的日志记录是由内核驱动的,而不是应用程序本身。
注意:Auditd 的真正目的是生成与 Linux 内核交互的审计日志,而 syslog/rsyslog 实际上是为了从应用程序本身进行通用日志记录。
关于linux - 如何从应用程序登录 AUDITD?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/52112685/
24
4
0
我们正在考虑从 rsyslog 迁移到 auditd,但我还没有找到应用程序应该如何将日志消息输出到 auditd。 (使用 rsyslog 有详细记录)。 最佳答案 您将 auditd 理解为日志记
我在auditd配置中给出了以下规则。 audit_rules: | -w /etc/group -p wa -k identity -w /etc/passwd -p wa -k
我正在尝试用 C/C++ 编写一个进程来实时分析 auditd 事件。 目前,我正在使用 af_unix 插件从 Unix 套接字(默认情况下为 /var/run/audisp_events)读取审计
我正在尝试在 centos docker 容器中配置 rsyslog 客户端,我注意到以下错误。看起来 rsyslogd 由于 auditd 失败而退出。 知道如何让 rsyslog 服务在 cent
关闭。这个问题不符合Stack Overflow guidelines .它目前不接受答案。 这个问题似乎与 help center 中定义的范围内的编程无关。 . 关闭 8 年前。 Improve
我遇到了一个问题,auditd 似乎将同一消息记录了两次,例如,请参见以下内容: type=EXECVE msg=audit(1495742109.857:90234552): argc=1 a0="
目前,我希望 auditd 服务永远运行,用户无法通过任何命令停止它。 当前我的 auditd 服务: ~]# systemctl cat auditd # /usr/lib/systemd/syst
我需要审核目录并在文件创建时使用文件路径参数调用脚本。阅读 auditctl 的人,我找不到办法做到这一点。 网络上有关于 inotify 或 iwatch 服务的引用,它们应该可以满足我的需要,但我
我想将auditd日志数据重定向到rsyslog而不是audit.log文件。 我发现默认情况下,“/etc/audit/auditd.conf”中已包含以下行以将其重定向到 log_file =/v
我是一名优秀的程序员,十分优秀!