次の設定を使用して、RedHat OS(グループID 555に属する)ですべてのユーザーアクティビティを追跡するためにauditdサービスを有効にしました。
vim /etc/audit/audit.rules
-a always,exit -F gid=555 -F arch=b64 -S execve
-a always,exit -F gid=555 -F arch=b32 -S execve
vim /etc/audisp/plugins.d/syslog.conf
active = yes
args = LOG_LOCAL6
vim /etc/rsyslog.conf
local6.* @@<IP address>
ただし、実行される各コマンドに対して複数のログ(通常は3つのログ)が生成され、以下のすべての必須情報を含む一意のログはありません。
- 注文する
- ユーザー名
- タイムスタンプ
- サーバーIP
- ソースIP
実行されたコマンドごとに1つのログのみを作成/配信するようにauditdを設定できますか?たとえば、ユーザープヴァ実行されると、rm -f /root/test.txt作成/配信されたログは次のようになります。
2017-05-10 10:14 <SourceIP> foobar@<DestinationIP> rm -f /root/test.txt
ありがとう、フランシスコ