Problemi con il formato dei log generati da Auditd

Question

Problemi con il formato dei log generati da Auditd

#1 da (1 voti)
#2 da (0 voti)
#3 da (0 voti)

3

Ho sotto l'istantanea del log generato da auditd quando ho provato a cancellare un utente. Non ha nome host e indirizzo nel registro:

 type=DEL_USER msg=audit(1404811391.243:4407153): user pid=5772 uid=0 auid=513 ses=185589 msg='op=deleting user entries id=532 exe="/usr/sbin/userdel" hostname=? addr=? terminal=pts/1 res=success'

Il mio auditor vuole che il nome host e l'addr vengano catturati nei log quando viene eseguita tale attività amministrativa. Anche la data / timestamp non è in un buon formato. Si prega di suggerire.

Sto incollando il mio file auditd.conf

auditd.conf

#
# This file controls the configuration of the audit daemon
#

log_file = /var/log/audit/audit.log
log_format = RAW
log_group = root
priority_boost = 4
flush = INCREMENTAL
freq = 20
num_logs = 4
disp_qos = lossy
dispatcher = /sbin/audispd
name_format = none
##name = mydomain
max_log_file = 5
max_log_file_action = ROTATE
space_left = 75
space_left_action = SYSLOG
action_mail_acct = root
admin_space_left = 50
admin_space_left_action = SUSPEND
disk_full_action = SUSPEND
disk_error_action = SUSPEND
##tcp_listen_port =
tcp_listen_queue = 5
tcp_max_per_addr = 1
##tcp_client_ports = 1024-65535
tcp_client_max_idle = 0
enable_krb5 = no
krb5_principal = auditd
##krb5_key_file = /etc/audit/audit.key

logging audit

posta deep 08.07.2014 - 12:58

fonte

3 risposte

Leggi altre domande sui tag logging audit

Klein e PTW wep attack Windows: archivio certificati predefinito dell'account di servizio

score 1 · Answer 1

Ecco una soluzione rapida per la conversione del formato datetime link

Per quanto riguarda la tua mancanza di hostname che è un fattore dell'uso dell'argomento name come sei (il valore predefinito è none se non configurato correttamente) - vedi link Sostituisci quello con name_format=hostname e il problema dovrebbe scomparire.

score 0 · Answer 2

Un'altra possibile soluzione potrebbe essere quella di inoltrare i log di auditd al logger syslog standard. Per fare ciò è possibile configurare il plugin syslog audispd. In una macchina debian dovrebbe essere in /etc/audispd/plugins.d/syslog

root@debian:/etc# cat /etc/audisp/plugins.d/syslog.conf 
# This file controls the configuration of the
# syslog plugin. It simply takes events and writes
# them to syslog.

active = yes
direction = out
path = builtin_syslog
type = builtin 
args = LOG_INFO
format = string

score 0 · Answer 3

Una risposta forse più completa:

I nomi host e i valori addr in questi messaggi di controllo vengono impostati quando i vari pacchetti shadow-utils (incluso userdel) chiamano le routine audit_log_user_message () o audit_log_acct_message ().

Dalla sorgente (shadow-4.1.4.2) sembrerebbe che l'utilità di login di shadow-util sia l'unica che imposta hostname (e tty). Tutte le altre utilità (incluso userdel) impostano hostname, addr e tty su NULL.

Per informazioni, le routine libaudit tenteranno di risolvere l'indirizzo (addr) dell'host se viene fornito un nome host senza indirizzo e tentano anche di risolvere il terminale associato (tty). Possiamo vedere che la risoluzione del terminale ha successo.

Come è stato suggerito, se si imposta name_format in /etc/audit/auditd.conf su 'hostname' o 'fqdn', allora un parametro nodo apparirà in tutti i log di auditd. Pertanto, il tuo nome di dominio completo è "hosta.subdom.maindom" e imposti name_format="fqdn", quindi quando si verifica il messaggio di controllo sopra riportato, vedresti

node=hosta.subdom.maindom type=DEL_USER msg=audit(1404811391.243:4407153): user pid=5772 uid=0 auid=513 ses=185589 msg='op=deleting user entries id=532 exe="/usr/sbin/userdel" hostname=? addr=? terminal=pts/1 res=success'

e da questo hai il file fqdn registrato su questo registro e puoi estrapolare il suo addr.