CentOS Stream 9
Sponsored Link

Auditd : ausearch でログを検索する
2022/03/11
 
監査ルールは個別に設定することも可能ですが、デフォルトでも、システムへのログインやユーザーアカウント操作、Sudo アクションなどは監査され、[/var/log/audit/audit.log] へ記録されています。
[1] ログはテキスト形式で記録されているため、ログファイルを直接開いて参照可能です。
[root@dlp ~]#
tail -5 /var/log/audit/audit.log

type=SERVICE_STOP msg=audit(1646976126.110:375): pid=1 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:init_t:s0 msg='unit=user@1000 comm="systemd" exe="/usr/lib/systemd/systemd" hostname=? addr=? terminal=? res=success'UID="root" AUID="unset"
type=SERVICE_STOP msg=audit(1646976126.124:376): pid=1 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:init_t:s0 msg='unit=user-runtime-dir@1000 comm="systemd" exe="/usr/lib/systemd/systemd" hostname=? addr=? terminal=? res=success'UID="root" AUID="unset"
type=SERVICE_STOP msg=audit(1646976150.679:377): pid=1 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:init_t:s0 msg='unit=systemd-hostnamed comm="systemd" exe="/usr/lib/systemd/systemd" hostname=? addr=? terminal=? res=success'UID="root" AUID="unset"
type=BPF msg=audit(1646976150.712:378): prog-id=79 op=UNLOAD
type=BPF msg=audit(1646976150.712:379): prog-id=78 op=UNLOAD
[2] [audit.log] には膨大なログが記録されるため、Audit パッケージには特定のログを検索することができる [ausearch] コマンドが同梱されています。
# ログインに関するログを検索

[root@dlp ~]#
ausearch --message USER_LOGIN --interpret

----
type=USER_LOGIN msg=audit(11/25/2021 18:26:50.936:87) : pid=884 uid=root auid=root ses=1 subj=system_u:system_r:local_login_t:s0-s0:c0.c1023 msg='op=login id=root exe=/usr/bin/login hostname=localhost.localdomain addr=? terminal=ttyS0 res=success'
----
type=USER_LOGIN msg=audit(11/26/2021 01:22:54.878:79) : pid=854 uid=root auid=root ses=1 subj=system_u:system_r:local_login_t:s0-s0:c0.c1023 msg='op=login id=root exe=/usr/bin/login hostname=localhost.localdomain addr=? terminal=ttyS0 res=success'
----
type=USER_LOGIN msg=audit(12/07/2021 22:31:29.947:82) : pid=861 uid=root auid=root ses=1 subj=system_u:system_r:local_login_t:s0-s0:c0.c1023 msg='op=login id=root exe=/usr/bin/login hostname=localhost.localdomain addr=? terminal=ttyS0 res=success'
----
type=USER_LOGIN msg=audit(12/07/2021 22:36:31.962:68) : pid=849 uid=root auid=root ses=1 subj=system_u:system_r:local_login_t:s0-s0:c0.c1023 msg='op=login id=root exe=/usr/bin/login hostname=localhost.localdomain addr=? terminal=ttyS0 res=success'
.....
.....

# ユーザー ID 1000 の sudo 実行履歴を検索

[root@dlp ~]#
ausearch -x sudo -ua 1000

----
time->Thu Mar 10 23:21:54 2022
type=USER_AUTH msg=audit(1646976114.048:341): pid=3246 uid=1000 auid=1000 ses=8 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='op=PAM:authentication grantors=pam_usertype,pam_localuser,pam_unix acct="cent" exe="/usr/bin/sudo" hostname=dlp.srv.world addr=? terminal=/dev/ttyS0 res=success'
----
time->Thu Mar 10 23:21:54 2022
type=USER_ACCT msg=audit(1646976114.081:342): pid=3246 uid=1000 auid=1000 ses=8 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='op=PAM:accounting grantors=pam_unix,pam_localuser acct="cent" exe="/usr/bin/sudo" hostname=dlp.srv.world addr=? terminal=/dev/ttyS0 res=success'
----
time->Thu Mar 10 23:21:54 2022
type=USER_CMD msg=audit(1646976114.081:343): pid=3246 uid=1000 auid=1000 ses=8 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='cwd="/home/cent" cmd=636174202F6574632F736861646F77 exe="/usr/bin/sudo" terminal=ttyS0 res=success'
.....
.....

# [dlp.srv.world] で発生した失敗イベントの履歴を検索

[root@dlp ~]#
ausearch --host dlp.srv.world --success no

----
time->Thu Mar 10 23:25:15 2022
type=USER_AUTH msg=audit(1646976315.473:406): pid=3329 uid=1000 auid=1000 ses=12 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='op=PAM:authentication grantors=? acct="root" exe="/usr/bin/su" hostname=dlp.srv.world addr=? terminal=/dev/ttyS0 res=failed'
----
time->Thu Mar 10 23:25:26 2022
type=USER_AUTH msg=audit(1646976326.418:410): pid=3333 uid=1000 auid=1000 ses=12 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='op=PAM:authentication grantors=? acct="cent" exe="/usr/bin/sudo" hostname=dlp.srv.world addr=? terminal=/dev/ttyS0 res=failed'
----
time->Thu Mar 10 23:25:30 2022
type=USER_AUTH msg=audit(1646976330.290:411): pid=3333 uid=1000 auid=1000 ses=12 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='op=PAM:authentication grantors=? acct="cent" exe="/usr/bin/sudo" hostname=dlp.srv.world addr=? terminal=/dev/ttyS0 res=failed'
.....
.....

# 2022/3/10 ~ 2022/3/11 間に発生したログインユーザー ID が 1000 のログを検索

[root@dlp ~]#
ausearch --start 03/10/2022 --end 03/11/2022 -ul 1000

----
time->Thu Mar 10 23:25:36 2022
type=CRED_DISP msg=audit(1646976336.981:414): pid=3293 uid=0 auid=1000 ses=12 subj=system_u:system_r:local_login_t:s0-s0:c0.c1023 msg='op=PAM:setcred grantors=pam_localuser,pam_unix acct="cent" exe="/usr/bin/login" hostname=dlp.srv.world addr=? terminal=/dev/ttyS0 res=success'
----
time->Thu Mar 10 23:25:36 2022
type=USER_END msg=audit(1646976336.983:415): pid=3293 uid=0 auid=1000 ses=12 subj=system_u:system_r:local_login_t:s0-s0:c0.c1023 msg='op=PAM:session_close grantors=pam_selinux,pam_loginuid,pam_selinux,pam_namespace,pam_keyinit,pam_keyinit,pam_limits,pam_systemd,pam_unix,pam_umask,pam_lastlog acct="cent" exe="/usr/bin/login" hostname=dlp.srv.world addr=? terminal=/dev/ttyS0 res=success'
.....
.....
関連コンテンツ