2018年09月17日

Auditを活用する!システムコールをログに記録する!発売中!「セキュリティのためのログ分析入門 サイバー攻撃の痕跡を見つける技術」第5部

・Linux Auditとは・・・・

カーネルに発行されるシステムコールなどOSに発生するイベントを監視する機構の事。


・auditd
・audispd
・ausearch
・aureport
・auditctl
・aulast

注)書籍ではCentOS6.x環境を想定していますね。


私はCentOS7.5を使います。
# rpm -qa | grep audit
audit-2.8.1-3.el7_5.1.x86_64
audit-libs-python-2.8.1-3.el7_5.1.x86_64
audit-libs-2.8.1-3.el7_5.1.x86_64






参考文献:
・セキュリティのためのログ分析入門 サイバー攻撃の痕跡を見つける技術


◎セキュリティのためのログ分析入門 サイバー攻撃の痕跡を見つける技術:円
セキュリティのためのログ分析入門 サイバー攻撃の痕跡を見つける技術 (Software Design plusシリーズ)
セキュリティのためのログ分析入門 サイバー攻撃の痕跡を見つける技術 (Software Design plusシリーズ)


◎LPICレベル2 Version4.5対応10章Webサーバとプロキシ:円
Linux教科書 LPICレベル2 Version 4.5対応◎セキュリティのためのログ分析入門 サイバー攻撃の痕跡を見つける技術:円
セキュリティのためのログ分析入門 サイバー攻撃の痕跡を見つける技術 (Software Design plusシリーズ)
セキュリティのためのログ分析入門 サイバー攻撃の痕跡を見つける技術 (Software Design plusシリーズ)


◎LPICレベル2 Version4.5対応10章Webサーバとプロキシ:円
Linux教科書 LPICレベル2 Version 4.5対応
Linux教科書 LPICレベル2 Version 4.5対応


・auditdの設定ファイル
 /etc/audit/audit/auditd.conf

・ログ
/var/log/audit/audit.log

・# ausyscall x86_64 --dump     ・・・システムコール番号とその名前の対応付けを調べる場合
Using x86_64 syscall table:
0 read
1 write
2 open
3 close
4 stat
5 fstat
6 lstat
7 poll
8 lseek
9 mmap
10 mprotect
11 munmap
12 brk
(途中省略)
332 statx


◆参考URL:RedHatマニュアルにイメージ図、アーキテクチャや説明がありました。
https://access.redhat.com/documentation/ja-jp/red_hat_enterprise_linux/7/html/security_guide/chap-system_auditing


# aureport

Summary Report
======================
Range of time in logs: 2018年06月19日 18:29:30.337 - 2018年09月17日 16:53:29.312
Selected time for report: 2018年06月19日 18:29:30 - 2018年09月17日 16:53:29.312
Number of changes in configuration: 5350
Number of changes to accounts, groups, or roles: 25
Number of logins: 281
Number of failed logins: 20
Number of authentications: 405
Number of failed authentications: 41
Number of users: 3
Number of terminals: 20
Number of host names: 9
Number of executables: 18
Number of commands: 16
Number of files: 0
Number of AVC's: 0
Number of MAC events: 137
Number of failed syscalls: 0
Number of anomaly events: 78
Number of responses to anomaly events: 0
Number of crypto events: 1712
Number of integrity events: 0
Number of virt events: 0
Number of keys: 0
Number of process IDs: 1750
Number of events: 19661



# ausearch -sc 1
posted by アンドレアス at 16:34| Comment(0) | vi上級 | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
コメントを書く
お名前:

メールアドレス:

ホームページアドレス:

コメント:

※ブログオーナーが承認したコメントのみ表示されます。