auditd
Системное администрирование и сети
Вопрос или проблема У меня есть файл /etc/audit/rules.d/audit.rules с следующим содержимым: -a always,exit -F arch=b32 -S chown,fchown,fchownat,lchown -F auid>=1000 ...и т.д... -a always,exit -F arch=b64 -S chown,fchown,fchownat,lchown -F auid>
Системное администрирование и сети
Вопрос или проблема У меня есть несколько событий USER_CHAUTHTOK в журнале AuditD, таких как этот 4 дек 12:50:40 v-stand-05 audispd: node=10.10.0.1 type=USER_CHAUTHTOK msg=audit(1733305840.550:51890): pid=6965 uid=0 auid=1111 ses=1214 subj=unconfined
Системное администрирование и сети
Вопрос или проблема У меня на сервере работает служба auditd, и иногда службы таинственным образом отключаются. Я нахожу инструмент aureport полезным, но пытаюсь выяснить, какой скрипт с параметрами был выполнен, в какое время и кем.
Системное администрирование и сети
Вопрос или проблема У меня есть вопрос, как я могу разделить логи из файлов правил auditd для передачи событий только из одного из них на удаленный сервер логов. Например, у меня есть auditd1.rules и auditd2.rules на одном сервере, и мне нужно отправить только auditd1.