web-dev-qa-db-ja.com

CentOSにauditdをインストールする方法

CentOS 6.4 x64にauditdをインストールするにはどうすればよいですか?管理者が実行したすべてのコマンドをログに記録したい 運用サーバーで管理者が実行したすべてのコマンドをログに記録する 編集:aduditdサービスを実行できない

私はこのツタンカーメンでやりました ここにリンクの説明を入力してください

Sudo yum install audit
Sudo chkconfig auditd on

これらの2行を/etc/audit/audit.rulesに追加しました

-a exit,always -F Arch=b64 -F euid=0 -S execve
-a exit,always -F Arch=b32 -F euid=0 -S execve

いくつかのコマンドを実行しましたが、/ var/log /にログ用の監査ディレクトリがありません

現在、auditdが機能していません。サービスを実行できません。メッセージログでこれを取得します

Sep  7 18:05:40 vesoljedomen auditd[6777]: Started dispatcher: /sbin/audispd pid: 6779
Sep  7 18:05:40 vesoljedomen audispd: No plugins found, exiting
Sep  7 18:05:40 vesoljedomen auditd[6777]: Unable to set audit pid, exiting
Sep  7 18:05:40 vesoljedomen auditd: Cannot daemonize (Success)
Sep  7 18:05:40 vesoljedomen auditd: The audit daemon is exiting.
Sep  7 18:05:40 vesoljedomen auditd[6777]: The audit daemon is exiting.
Sep  7 18:05:47 vesoljedomen auditd[6791]: Started dispatcher: /sbin/audispd pid: 6793
Sep  7 18:05:47 vesoljedomen audispd: No plugins found, exiting
Sep  7 18:05:47 vesoljedomen auditd[6791]: Unable to set audit pid, exiting
Sep  7 18:05:47 vesoljedomen auditd: Cannot daemonize (Success)
Sep  7 18:05:47 vesoljedomen auditd: The audit daemon is exiting.
Sep  7 18:05:47 vesoljedomen auditd[6791]: The audit daemon is exiting.
Sep  7 18:06:01 vesoljedomen auditd[6924]: Started dispatcher: /sbin/audispd pid: 6926
Sep  7 18:06:01 vesoljedomen audispd: No plugins found, exiting
Sep  7 18:06:01 vesoljedomen auditd[6924]: Unable to set audit pid, exiting
Sep  7 18:06:01 vesoljedomen auditd: Cannot daemonize (Success)
Sep  7 18:06:01 vesoljedomen auditd: The audit daemon is exiting.
Sep  7 18:06:01 vesoljedomen auditd[6924]: The audit daemon is exiting.


-bash-4.1# -bash-4.1# chkconfig --list | grep auditd
-bash: -bash-4.1#: command not found
-bash-4.1# auditd          0:off   1:off   2:on    3:on    4:on    5:on    6:off
Usage: auditd [-f] [-l] [-n] [-s disable|enable|nochange]
-bash-4.1# -bash-4.1# service auditd status
-bash: -bash-4.1#: command not found
-bash-4.1# service auditd start
-bash-4.1# auditd is stopped
centosmonitoringlogginglog-filesauditd
3
Luka Tce

ディレクトリは/var/log/audit/ではなく/var/log/auditd/と呼ばれます

見つからない場合は、誰かがそのディレクトリを削除し、Sudo yum reinstall auditを実行して再作成します。

auditはデフォルトでインストールされ、実行中です。とにかくSudo service auditd startを実行します

注意:

管理者によって実行されたすべてのコマンドをログに記録したい管理者によって実行されたすべてのコマンドを本番サーバーにログに記録する

auditdは、常にそれを支援するわけではありません。特に、同じマシンにログが保存されている場合は、すべてをログに記録することはできません。

2
GioMac