>

현재 CentOS7을 실행 중입니다.

현재 Splunk 전달자에 문제가 있습니다. 모든 Linux 컴퓨터에서 다음을 모니터링 할 수 있어야합니다. 다음 중 일부는 Windows 컴퓨터에만 적용 할 수 있습니다 (모니터링하고 있지만 여전히 수행 할 수 있는지 확인하기 위해 게시하고 있습니다 "

  • 파일 액세스 거부-Google은 auditd 를 언급했습니다  이 부분에 대해?

  • 로그온 거부

  • 보안 그룹 변경-그룹 변경 일 수 있습니다

  • 사용자 계정 활성화/비활성화 (추가/제거)

  • 파일/폴더/및 디렉토리 권한 변경

  • 사용자 로그온/사용자 로그 오프

이걸 추가해야하는 줄이 /opt/splunkforwarder/bin/splunk add monitor 라는 것을 알고 있습니다  특정 로그의 경로가 뒤 따릅니다. 내가 현재 가지고있는 것은 /var/log/ 를 모니터링하는 것입니다  다른 모든 것을 포착하기에 충분합니다. 하지만 모두 Splunk Forwarder를 사용한 경험이 있다면 이러한 유형의 활동을 모니터링하는 더 좋은 방법이 있는지 알려주세요

  • 답변 # 1

    이것은 audit.rules 파일을 구성하여 수행 할 수 있음을 발견했습니다. /etc/audit/rules.d/audit.rules.  나중에 동일한 문제가 발생하는 사용자에게 유용한 구성 파일을 게시하겠습니다. 지금해야 할 것은 Splunk Forwarder가이 정보를 캡처하도록 구성하는 것입니다.

    #NOTE-IF YOU HAVE A 32-BIT SYSTEM YOU MUST CHANGE b64->b32 USE "%s/b64/b32/"
    # This file contains the auditctl rules that are loaded
    # whenever the audit daemon is started via the initscripts.
    # The rules are simply the parameters that would be passed
    # to auditctl.
    # First rule - delete all
    -D
    # Increase the buffers to survive stress events.
    # Make this bigger for busy systems
    -b 1024
    # Feel free to add below this line. See auditctl man page
    #Record events that modify account information
    -w /etc/group -p wa -k identity
    -w /etc/passwd -p wa -k identity
    -w /etc/gshadow -p wa -k identity
    -w /etc/shadow -p wa -k identity
    -w /etc/security/opasswd -p wa -k identity
    #Record events that modify the network configuration
    -a exit,always -F arch=b64 -S sethostname -S setdomainname -k system-locale
    -w /etc/issue -p wa -k system-locale
    -w /etc/issue.net -p wa -k system-locale
    -w /etc/hosts -p wa -k system-locale
    -w /etc/sysconfig/network -p wa -k system-locale
    #Record logon and logout Events
    -w /var/log/faillog -p wa -k logins
    -w /var/log/lastlog -p wa -k logins
    #Record process and session initiation information
    -w /var/run/utmp -p wa -k session
    -w /var/log/btmp -p wa -k session
    -w /var/log/wtmp -p wa -k session
    #Record discretionary access control permission modification events
    -a always,exit -F arch=b64 -S chmod -S fchmod -S fchmodat -F auid>=500 -F auid!=4294967295 -k perm_mod
    #Record discretionary access control permission modification events
    -a always,exit -F arch=b64 -S chmod -S fchmod -S fchmodat -F auid>=500 -F auid!=4294967295 -k perm_mod
    -a always,exit -F arch=b64 -S chown -S fchown -S fchownat -S lchown -F auid>=500 -F auid!=4294967295 -k perm_mod
    -a always,exit -F arch=b64 -S setxattr -S lsetxattr -S fsetxattr -S removexattr -S lremovexattr -S fremovexattr -F auid>=500 -F auid!=4294967295 -k perm_mod
    #Record unauthorized access attempts to files unsuccessful
    -a always,exit -F arch=b64 -S creat -S open -S openat -S truncate -S ftruncate \
    -F exit=-EACCES -F auid>=500 -F auid!=4294967295 -k access
    -a always,exit -F arch=b64 -S creat -S open -S openat -S truncate -S ftruncate \
    -F exit=-EPERM -F auid>=500 -F auid!=4294967295 -k access
    #Record information on exporting to Media (successful)
    -a always,exit -F arch=b64 -S mount -F auid>=500 -F auid!=4294967295 -k export
    #Record files deletion events by User (successful and unsuccessful)
    -a always,exit -F arch=b64 -S unlink -S unlinkat -S rename -S renameat -F auid>=500 \
    -F auid!=4294967295 -k delete
    #Record system administrator actions
    -w /etc/sudoers -p wa -k actions
    #Record information on kernel module loading and unloading
    -w /sbin/insmod -p x -k modules
    -w /sbin/rmmod -p x -k modules
    -w /sbin/modprobe -p x -k modules
    -a always,exit -S init_module -S delete_module -k modules
    
    

  • 이전 command line - 배쉬 스크립트 - 각 문자의 단어 분리
  • 다음 email - 다른 사람/루트 파일을 보내려면 어떤 권한이 필요합니까?