Как настроить auditd для сбора журналов из /proc

Question

Вы можете сделать следующее, используяawk:

awk '$1 ~ /[0-9]\.[0-9]+/{ip=$1; val=0; next } /^[0-9]+$/{port=$1; if(!(val++)); print ip":"port}' infile

2

kernel linux-audit logs linux-kernel proc

Geordeaux 08.09.2019, 15:51

Ссылка

1 ответ

U880D · Answer 1 · 27.01.2020, 22:24

Использование RHEL и SplunkForwarder в моей среде. auditdнастраивается в соответствии с Определение правил аудита или Введение набора правил аудита .

Чтобы определить правило просмотра файловой системы(-w)

auditctl -w <filePath> -p permissions -k <keyName>

с зарегистрированными разрешениями

т. е. -p wa.

Мониторинг всего в /procможет быть излишним.