我有一个服务器运行auditd和audisdp-prelude插件的序幕。 目前,我得到几种types的login事件,如sshd和gdm。 但是,我似乎没有得到vsftpd的login信息。 我知道我可以改变vsftpd的configuration,并将其输出到一个文件,然后用prelude-lmlparsing,但是我真的希望auditd把事件发送给我,这样我就不必这样做了。 我可以看到auditd实际上正在审核login,但由于某种原因,它并不像其他所有内容那样转发它们。 我正在运行一个单独的prelude-manager服务器,我试图用它来收集我所有值得注意的事件。
抱歉耽搁了。 你修好了吗? 如果没有, http://www.sriramrajan.com/mw/index.php/Linux-Auditd可能会有用。
通常…为了使用审计设施,您需要使用以下工具=> auditctl – 一个命令来协助控制内核的审计系统。 您可以获得状态,并将规则添加或删除到内核审计系统中。 在文件上设置监视是使用以下命令完成的:
=> ausearch – 一个命令,可以根据不同的search条件查询基于事件的审计守护进程日志。
它说….通过系统日志导出您的vsftpd日志到一个文件,并从auditd进行过滤。 这和你在想关于prelude-lml的东西类似。