Перейти к основному содержимому
Версия: 4.3.58

Плагин для нормализации логов Auditd

Auditd (сокращение от Linux Audit Daemon) — нативный инструмент, предназначенный для мониторинга событий операционной системы и записи их в журналы событий, разрабатываемый и поддерживаемый компанией RedHat. Был создан для тесного взаимодействия с ядром операционной системы — во время своей работы наблюдает за системными вызовами и может записывать события — чтение, запись, выполнение, изменение прав - связанные с файлами ОС. Таким образом, с его помощью можно отслеживать практически любые события, происходящие в операционной системе.

Правила аудита настраиваются файлами в папке /etc/audit/audit.rules на локальном узле Linux. Конфигурация в операционной системе настраивается в файле /etc/audit/auditd.conf. Для управления службой аудита используйте инструмент ОС auditctl.

Плагин auditd извлекает и нормализует информацию из логов службы аудита Linux:

  • Отметку времени события
  • Тип и источник события
  • Изменения в файлах конфигурации
  • Попытки доступа к логам аудита
  • Все события аутентификации и действий с аутентифицированными пользователями
  • Изменения важных файлов, например, /etc/passwd
  • Прочие события

Эта статья предназначена для объяснения работы плагина для нормализации логов auditd в поля ECS с помощью примеров.

Пример конфига:

processors:
- module: auditd

Пример событий:

<187>Oct 19 15:31:08 astra tag1 type=SYSCALL msg=audit(1485893834.891:18877199): arch=c000003e syscall=44 success=yes exit=184 a0=9 a1=7f564b2672a0 a2=b8 a3=0 items=0 ppid=1240 pid=1281 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=4294967295 comm="charon" exe=2F7573722F6C6962657865632F7374726F6E677377616E2F636861726F6E202864656C6574656429 key=(null) 

<187>Oct 20 10:07:25 astra tag1 type=USER_AUTH msg=audit(1666249645.144:16236): pid=26416 uid=1000 auid=1000 ses=4 subj=0:63:0:0 msg='op=PAM:authentication grantors=pam_permit acct="komradmin" exe="/usr/bin/fly-wmpam" hostname=astra addr=? terminal=/dev/tty7 res=success'

<187>Oct 20 10:13:58 astra tag1 type=PATH msg=audit(1666250038.812:16242): item=1 name="/home/komradmin/.local/share/" inode=3277766 dev=08:01 mode=040755 ouid=1000 ogid=1000 rdev=00:00 obj=0:0:0:0 nametype=PARENT cap_fp=0 cap_fi=0 cap_fe=0 cap_fver=0 cap_frootid=0