主页 / unix / 问题

问题[audit](unix)

Martin Hope
dr_
Asked: 2019-12-07 07:53:44 +0800 CST
  • 6

这是一个假设性问题,而不是我目前遇到的问题。

您如何检测现在或过去哪个进程使用了​​文件?

找出哪个进程正在访问filenamelsof filename或者fuser filename将完成工作。但是,如果想知道filename 过去 24 小时内访问了哪些进程怎么办?

一个人可以逃脱这个丑陋的(*)黑客

while true; do fuser filename; sleep 1; done

并让它在另一个学期运行 24 小时。但实际上有没有更好的系统,而不建立一个完整的审计框架?



(*) 更不用说fuser如果不到 1 秒可能无法检测到访问...

audit lsof
Martin Hope
FelixJN
Asked: 2019-10-29 12:02:51 +0800 CST
  • 2

在检查来自 的网络活动日志时audit,我想排除一些我知道的程序,例如firefox.

ausearch -x firefox -i

调出所有与 Firefox 相关的连接。但常见的非运算符似乎失败了:

ausearch -x=!fire
ausearch -x \!fire
ausearch -x ^[fire]

如何匹配中的字符串ausearch

注意:这不是定义日志规则以排除程序,而只是过滤日志本身。

audit
Martin Hope
Ned Burgher
Asked: 2019-06-16 14:48:31 +0800 CST
  • 0

[注意我的第一篇文章-欢迎指导]

我们在基于 deb 的系统上有一个小型本地用户网络 (5),并希望维护已安装应用程序的索引。

我们如何以编程方式为用户添加的所有应用程序清点给定的 Linux 桌面安装

理想情况下,这将包括发行版存储库,但也;appimage、snap 和 flatpak。它将排除更多容器元素,例如 docker & lxc/lxd。

audit application
Martin Hope
humanityANDpeace
Asked: 2019-06-06 07:57:09 +0800 CST
  • 0

使用strace我发现了ldconfig(glibc)的行为,我无法理解

lstat("/usr/lib/libext2fs.so.2", {st_mode=S_IFLNK|0777, st_size=16, ...}) = 0
unlink("/usr/lib/libext2fs.so.2")       = 0
symlink("libselinux.so.1", "/usr/lib/libext2fs.so.2") = 0

是否需要让ext2fs( libext2fs.so.2)的共享对象库成为libselinux.so.1.

ldconfig 如何知道该做什么?/usr/bin/ldconfig对我来说,这个静态二进制文件会有这样的硬编码行为似乎不合逻辑,对吧。然而,它的配置文件/etc/ld.so.conf并不能帮助我解开这个谜团。

是什么让我的发行版工具(Arch Linux)让这一切更加令人困惑/可疑,我找不到该文件所属的任何包。

$ pkgfile /usr/lib/libselinux.so.1

不显示任何包,而 $ pkgfile /usr/lib/libext2fs.so

输出core/e2fsprogs

所以我的问题是:

  1. 这个libselinux.so.1的作用在这里
  2. ldconfig 如何决定创建该符号链接(顺便说一句。中断e2fsck
audit strace
Martin Hope
user9573897
Asked: 2018-03-31 01:22:26 +0800 CST
  • 0

我正在尝试在 CentOS 上运行此命令。

logger -t AUDIT_LOG -f <MY_AUDIT_LOG_FILE> &

它可以正常工作 10/20 秒。在尾部打开 /var/log/messages 我可以在一段时间内正确地看到打印在 syslog 文件中的消息

tail -50f /var/log/messages

在 tail 命令之后,检查:

ps -eaf | grep logger

我的记录器进程不再启动和运行。我不认为 tail 命令是记录器关闭的原因。我想在消息系统日志文件中附加写在应用程序审计日志中的行。

audit syslog
Martin Hope
Cocowalla
Asked: 2018-01-14 13:53:29 +0800 CST
  • 4

我将其拖尾auditd.log并将其输送到ausearchthenaureport中,目的是获得一个简单的修改文件流:

tail -f /var/log/audit/audit.log | ausearch -k my_key | aureport -f --success -i

虽然aureport似乎可以完成关联和组合多条记录的工作,但它似乎没有合并PATH为每个文件审计日志的 2 行 - 例如,如果有人运行指定相对路径(而不是绝对路径)的命令,aureport则显示就像是:

File Report
===============================================
# date time file syscall success exe auid event
===============================================
1. 13/01/18 21:45:44 myfile open yes /usr/bin/touch user 6229
2. 13/01/18 21:45:46 myfile open yes /usr/bin/touch user 6230

有什么办法可以aureport显示完整路径吗?

filenames audit