Auditd : ausearch でログを検索する2016/07/26 |
監査ルールは個別に設定することも可能ですが、デフォルトでも、システムへのログインやユーザーアカウント操作、Sudo
アクションなどは監査され、/var/log/audit/audit.log へ記録されています。
|
|
[1] | ログはテキスト形式で記録されているため、ログファイルを直接開いて参照可能です。 |
[root@dlp ~]# tail -5 /var/log/audit/audit.log node=dlp.srv.world type=USER_START msg=audit(1456386950.783:116): pid=10697 uid=0 auid=0 ses=1 msg='op=P... node=dlp.srv.world type=USER_END msg=audit(1456386950.799:117): pid=10697 uid=0 auid=0 ses=1 msg='op=PAM... node=dlp.srv.world type=CRED_DISP msg=audit(1456386950.799:118): pid=10697 uid=0 auid=0 ses=1 msg='op=PA... node=dlp.srv.world type=USER_END msg=audit(1456386952.872:119): pid=10676 uid=0 auid=0 ses=1 msg='op=PAM... node=dlp.srv.world type=CRED_DISP msg=audit(1456386952.872:120): pid=10676 uid=0 auid=0 ses=1 msg='op=PA... |
[2] | audit.log には膨大なログが記録されるため、Audit パッケージには特定のログを検索することができる ausearch コマンドが同梱されています。 |
# ログインに関するログを検索 [root@dlp ~]# ausearch --message USER_LOGIN --interpret ---- node=dlp.srv.world type=USER_LOGIN msg=audit(02/26/2016 09:21:35.121:44) : pid=610 uid=root auid=root ses=... ---- node=node01.srv.world type=USER_LOGIN msg=audit(02/26/2016 09:40:29.419:46) : pid=625 uid=root auid=root s... ..... ..... node=node01.srv.world type=USER_LOGIN msg=audit(02/26/2016 10:34:51.089:44) : pid=620 uid=root auid=root s... # ユーザーID 1000 の sudo 実行履歴を検索 [root@dlp ~]# ausearch -x sudo -ua 1000 ---- time->Tue Feb 23 09:52:23 2016 node=dlp.srv.world type=USER_AUTH msg=audit(1456188743.819:49): pid=960 uid=1000 auid=0 ses=1 msg='op=... ---- time->Tue Feb 23 09:52:23 2016 node=dlp.srv.world type=USER_ACCT msg=audit(1456188743.819:50): pid=960 uid=1000 auid=0 ses=1 msg='op=... ..... ..... time->Fri Feb 26 09:48:50 2016 node=node01.srv.world type=USER_ACCT msg=audit(1456447730.031:52): pid=966 uid=1000 auid=0 ses=1 msg='... # dlp.srv.world で発生した失敗イベントの履歴を検索 [root@dlp ~]# ausearch --node dlp.srv.world --success no ---- time->Thu Feb 25 17:46:57 2016 node=dlp.srv.world type=USER_END msg=audit(1456390017.044:129): pid=608 uid=0 auid=0 ses=1 msg='..... res=failed' ---- time->Thu Feb 25 17:46:57 2016 node=dlp.srv.world type=SERVICE_START msg=audit(1456390017.111:147): pid=1 uid=0 auid=429496729 ..... res=failed' ..... ..... time->Fri Feb 26 09:50:10 2016 node=dlp.srv.world type=SERVICE_STOP msg=audit(1456447810.331:63): pid=1 uid=0 auid=4294967295 ..... res=failed' # 2016/2/7 ~ 2016/2/21 間に発生したログインユーザーID が 1000 のログを検索 [root@dlp ~]# ausearch --start 02/07/2016 --end 02/21/2016 -ul 1000 ---- time->Tue Feb 7 09:54:51 2016 type=LOGIN msg=audit(1456188891.234:69): pid=976 uid=0 old-auid=4294967295 auid=1000 old-ses=4294967295 s... ---- time->Tue Feb 7 09:54:51 2016 ype=USER_START msg=audit(1456188891.244:70): pid=976 uid=0 auid=1000 ses=2 msg='op=PAM:session_open gran... time->Tue Feb 21 11:13:38 2016 ype=USER_END msg=audit(1456193618.644:159): pid=8105 uid=0 auid=1000 ses=6 msg='op=PAM:session_close gra... |
Sponsored Link |
|