Auditd : ausearch でログを検索する2025/10/23 |
|
監査ルールは個別に設定することも可能ですが、デフォルトでも、システムへのログインやユーザーアカウント操作、Sudo アクションなどは監査され、[/var/log/audit/audit.log] へ記録されています。 |
|
| [1] | ログはテキスト形式で記録されているため、ログファイルを直接開いて参照可能です。 |
|
dlp:~ # tail -5 /var/log/audit/audit.log type=SERVICE_STOP msg=audit(1761179524.763:101): pid=1 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:init_t:s0 msg='unit=NetworkManager-dispatcher comm="systemd" exe="/usr/lib/systemd/systemd" hostname=? addr=? terminal=? res=success' type=SERVICE_STOP msg=audit(1761179543.360:102): pid=1 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:init_t:s0 msg='unit=wtmpdbd comm="systemd" exe="/usr/lib/systemd/systemd" hostname=? addr=? terminal=? res=success' type=BPF msg=audit(1761179543.390:103): prog-id=38 op=UNLOAD type=SERVICE_STOP msg=audit(1761179543.744:104): pid=1 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:init_t:s0 msg='unit=systemd-hostnamed comm="systemd" exe="/usr/lib/systemd/systemd" hostname=? addr=? terminal=? res=success' type=BPF msg=audit(1761179543.759:105): prog-id=41 op=UNLOAD |
| [2] | [audit.log] には膨大なログが記録されるため、Audit パッケージには特定のログを検索することができる [ausearch] コマンドが同梱されています。 |
|
# ログインに関するログを検索 dlp:~ # ausearch --message USER_LOGIN --interpret ---- type=USER_LOGIN msg=audit(10/09/25 14:06:24.460:101) : pid=1116 uid=root auid=root ses=1 subj=system_u:system_r:local_login_t:s0-s0:c0.c1023 msg='op=login id=root exe=/usr/bin/login hostname=localhost addr=? terminal=ttyS0 res=success' ---- type=USER_LOGIN msg=audit(10/09/25 14:22:20.513:107) : pid=1001 uid=root auid=root ses=1 subj=system_u:system_r:local_login_t:s0-s0:c0.c1023 msg='op=login id=root exe=/usr/bin/login hostname=localhost addr=? terminal=ttyS0 res=success' ---- type=USER_LOGIN msg=audit(10/13/25 11:37:45.802:100) : pid=998 uid=root auid=root ses=1 subj=system_u:system_r:local_login_t:s0-s0:c0.c1023 msg='op=login id=root exe=/usr/bin/login hostname=localhost addr=? terminal=ttyS0 res=success' ..... ..... # ユーザー ID 1000 の sudo 実行履歴を検索 dlp:~ # ausearch -x sudo -ua 1000 ---- time->Thu Oct 23 09:37:12 2025 type=USER_AUTH msg=audit(1761179832.458:275): pid=1640 uid=1000 auid=0 ses=7 subj=unconfined_u:unconfined_r:unconfined_t:s0 msg='op=PAM:authentication grantors=pam_unix acct="suse" exe="/usr/bin/sudo" hostname=dlp.srv.world addr=? terminal=/dev/ttyS0 res=success' ---- time->Thu Oct 23 09:37:12 2025 type=USER_ACCT msg=audit(1761179832.460:276): pid=1640 uid=1000 auid=0 ses=7 subj=unconfined_u:unconfined_r:unconfined_t:s0 msg='op=PAM:accounting grantors=pam_unix acct="suse" exe="/usr/bin/sudo" hostname=dlp.srv.world addr=? terminal=/dev/ttyS0 res=success' ---- time->Thu Oct 23 09:37:12 2025 type=USER_CMD msg=audit(1761179832.460:277): pid=1640 uid=1000 auid=0 ses=7 subj=unconfined_u:unconfined_r:unconfined_t:s0 msg='cwd="/home/suse" cmd=6C73202D6C202F726F6F74 exe="/usr/bin/sudo" terminal=ttyS0 res=success' ..... ..... # [dlp.srv.world] で発生した失敗イベントの履歴を検索 dlp:~ # ausearch --host dlp.srv.world --success no ---- time->Thu Oct 23 09:37:41 2025 type=USER_AUTH msg=audit(1761179861.518:295): pid=1675 uid=1001 auid=0 ses=7 subj=unconfined_u:unconfined_r:unconfined_t:s0 msg='op=PAM:authentication grantors=? acct="root" exe="/usr/bin/sudo" hostname=dlp.srv.world addr=? terminal=/dev/ttyS0 res=failed' ---- time->Thu Oct 23 09:37:49 2025 type=USER_AUTH msg=audit(1761179869.434:296): pid=1675 uid=1001 auid=0 ses=7 subj=unconfined_u:unconfined_r:unconfined_t:s0 msg='op=PAM:authentication grantors=? acct="root" exe="/usr/bin/sudo" hostname=dlp.srv.world addr=? terminal=/dev/ttyS0 res=failed' ---- time->Thu Oct 23 09:38:54 2025 type=USER_AUTH msg=audit(1761179934.750:304): pid=1682 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:local_login_t:s0-s0:c0.c1023 msg='op=PAM:authentication grantors=? acct="leap" exe="/usr/bin/login" hostname=dlp.srv.world addr=? terminal=/dev/ttyS0 res=failed' ..... ..... # 2025/10/22 ~ 2025/10/23 間に発生したログインユーザー ID が 1000 のログを検索 dlp:~ # ausearch --start 10/22/25 --end 10/23/25 -ul 1000 ---- time->Thu Oct 23 09:37:41 2025 type=USER_AUTH msg=audit(1761179861.518:295): pid=1675 uid=1001 auid=0 ses=7 subj=unconfined_u:unconfined_r:unconfined_t:s0 msg='op=PAM:authentication grantors=? acct="root" exe="/usr/bin/sudo" hostname=dlp.srv.world addr=? terminal=/dev/ttyS0 res=failed' ---- time->Thu Oct 23 09:37:49 2025 type=USER_AUTH msg=audit(1761179869.434:296): pid=1675 uid=1001 auid=0 ses=7 subj=unconfined_u:unconfined_r:unconfined_t:s0 msg='op=PAM:authentication grantors=? acct="root" exe="/usr/bin/sudo" hostname=dlp.srv.world addr=? terminal=/dev/ttyS0 res=failed' ---- time->Thu Oct 23 09:38:54 2025 type=USER_AUTH msg=audit(1761179934.750:304): pid=1682 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:local_login_t:s0-s0:c0.c1023 msg='op=PAM:authentication grantors=? acct="leap" exe="/usr/bin/login" hostname=dlp.srv.world addr=? terminal=/dev/ttyS0 res=failed' ..... ..... |
| Sponsored Link |
|
|