Auditd : ausearch でログを検索する2021/03/04 |
監査ルールは個別に設定することも可能ですが、デフォルトでも、システムへのログインやユーザーアカウント操作、Sudo
アクションなどは監査され、[/var/log/audit/audit.log] へ記録されています。
|
|
[1] | ログはテキスト形式で記録されているため、ログファイルを直接開いて参照可能です。 |
[root@dlp ~]# tail -3 /var/log/audit/audit.log type=CRED_ACQ msg=audit(1614840570.142:137): pid=1759 uid=1000 auid=1000 ses=3 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='op=PAM:setcred grantors=pam_unix acct="root" exe="/usr/bin/su" hostname=node01.srv.world addr=? terminal=ttyS0 res=success' type=USER_START msg=audit(1614840570.146:138): pid=1759 uid=1000 auid=1000 ses=3 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='op=PAM:session_open grantors=pam_keyinit,pam_keyinit,pam_limits,pam_systemd,pam_unix,pam_umask,pam_xauth acct="root" exe="/usr/bin/su" hostname=node01.srv.world addr=? terminal=ttyS0 res=success' type=SERVICE_STOP msg=audit(1614840591.332:139): pid=1 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:init_t:s0 msg='unit=fprintd comm="systemd" exe="/usr/lib/systemd/systemd" hostname=? addr=? terminal=? res=success' |
[2] | [audit.log] には膨大なログが記録されるため、Audit パッケージには特定のログを検索することができる [ausearch] コマンドが同梱されています。 |
# ログインに関するログを検索 [root@dlp ~]# ausearch --message USER_LOGIN --interpret ---- type=USER_LOGIN msg=audit(02/18/2021 15:52:50.274:71) : pid=1186 uid=root auid=root ses=1 subj=system_u:system_r:local_login_t:s0-s0:c0.c1023 msg='op=login id=root exe=/usr/bin/login hostname=localhost.localdomain addr=? terminal=ttyS0 res=success' ---- type=USER_LOGIN msg=audit(02/24/2021 14:21:48.796:65) : pid=1149 uid=root auid=root ses=1 subj=system_u:system_r:local_login_t:s0-s0:c0.c1023 msg='op=login id=root exe=/usr/bin/login hostname=localhost.localdomain addr=? terminal=ttyS0 res=success' ---- type=USER_LOGIN msg=audit(02/24/2021 14:33:50.176:91) : pid=1132 uid=root auid=root ses=1 subj=system_u:system_r:local_login_t:s0-s0:c0.c1023 msg='op=login id=root exe=/usr/bin/login hostname=localhost.localdomain addr=? terminal=ttyS0 res=success' ..... ..... # ユーザーID 1000 の sudo 実行履歴を検索 [root@dlp ~]# ausearch -x sudo -ua 1000 ---- time->Thu Mar 3 19:54:46 2021 type=USER_AUTH msg=audit(1614840886.112:133): pid=1939 uid=1000 auid=0 ses=1 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='op=PAM:authentication grantors=pam_usertype,pam_localuser,pam_unix acct="cent" exe="/usr/bin/sudo" hostname=dlp.srv.world addr=? terminal=/dev/ttyS0 res=success' ---- time->Thu Mar 3 19:54:46 2021 type=USER_ACCT msg=audit(1614840886.115:134): pid=1939 uid=1000 auid=0 ses=1 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='op=PAM:accounting grantors=pam_unix,pam_localuser acct="cent" exe="/usr/bin/sudo" hostname=dlp.srv.world addr=? terminal=/dev/ttyS0 res=success' ---- time->Thu Mar 3 19:54:46 2021 type=USER_CMD msg=audit(1614840886.116:135): pid=1939 uid=1000 auid=0 ses=1 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='cwd="/home/cent" cmd="ls" exe="/usr/bin/sudo" terminal=ttyS0 res=success' ..... ..... # [dlp.srv.world] で発生した失敗イベントの履歴を検索 [root@dlp ~]# ausearch --host dlp.srv.world --success no ---- time->Thu Feb 25 16:33:00 2021 type=USER_END msg=audit(1614238380.105:215): pid=1152 uid=0 auid=0 ses=1 subj=system_u:system_r:local_login_t:s0-s0:c0.c1023 msg='op=PAM:session_close grantors=? acct="root" exe="/usr/bin/login" hostname=dlp.srv.world addr=? terminal=ttyS0 res=failed' ---- time->Tue Mar 2 15:29:14 2021 type=USER_END msg=audit(1614666554.196:114): pid=1186 uid=0 auid=0 ses=1 subj=system_u:system_r:local_login_t:s0-s0:c0.c1023 msg='op=PAM:session_close grantors=? acct="root" exe="/usr/bin/login" hostname=dlp.srv.world addr=? terminal=ttyS0 res=failed' ..... ..... # 2021/3/3 ~ 2021/3/4 間に発生したログインユーザーID が 1000 のログを検索 [root@dlp ~]# ausearch --start 03/03/2021 --end 03/04/2021 -ul 1000 ---- time->Thu Mar 4 15:54:46 2021 type=USER_AUTH msg=audit(1614840886.112:133): pid=1939 uid=1000 auid=0 ses=1 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='op=PAM:authentication grantors=pam_usertype,pam_localuser,pam_unix acct="cent" exe="/usr/bin/sudo" hostname=dlp.srv.world addr=? terminal=/dev/ttyS0 res=success' ---- time->Thu Mar 4 15:54:46 2021 type=USER_ACCT msg=audit(1614840886.115:134): pid=1939 uid=1000 auid=0 ses=1 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='op=PAM:accounting grantors=pam_unix,pam_localuser acct="cent" exe="/usr/bin/sudo" hostname=dlp.srv.world addr=? terminal=/dev/ttyS0 res=success' ..... ..... |
Sponsored Link |
|