User Tools

Site Tools


система_linux_auditing

This is an old revision of the document!


Система Linux Auditing

http://www.cyberciti.biz/tips/linux-audit-files-to-see-who-made-changes-to-a-file.html

Сценарий: отслеживаем события чтения/записи/добавления в файлы passwd и shadow

Установка и запуск системы аудита

# apt-get install auditd

Настройка правил аудита событий

# auditctl -D

# auditctl -w /etc/passwd -p rwa -k passwords-files

# cat /etc/audit/audit.rules
...
-w /etc/passwd -p rwa -k passwords-files
-w /etc/shadow -p rwa -k passwords-files
# /etc/init.d/auditd restart

Генерация событий

# touch /etc/passwd

# cat /etc/shadow

Поиск событий

# cat /var/log/audit/audit.log 

# ausearch -f /etc/passwd

# ausearch -k passwords-files

# ausearch -f /etc/passwd -i
система_linux_auditing.1340699170.txt.gz · Last modified: 2013/05/22 13:50 (external edit)