在我们的RedHat服务器中,我们使用脚本启用了用户会话logging,并logging用户会话。 但是我找不到scriptreplay来播放logging的日志。 如何阅读/播放日志?
对于LAMP来说问题是新的,并且想要以任何自动化的清单方式来testing系统configuration。 有什么build议么?
我被要求指定安装在生产Web服务器上的function,以便创build副本testing环境。 我可以指出并点击我的解决scheme,但我很好奇如何通过脚本来完成。 Powershell或WMI会让人想起。 报告应显示与版本号一起安装的所有关键系统function。 理想情况下,它也会提供有关已安装的操作系统的一些信息
我想有一个设置,其中一旦我configuration一个单一的MAC地址的networking插孔只有该计算机可能连接到它。 此外,我想确保没有办法一个人可能得到一个路由器的MAC地址注册和挂接在路由器后面的多个电脑在NAT或至less它应该是可以发现的。 我知道这是可能的,因为这是在我的大学完成的。 任何人都知道?
最近我用logging仪对我的机器进行了审计,发现我的机器每天发送大约582封邮件。 STATISTICS ———- Messages To Recipients: 582 Addressed Recipients: 582 Bytes Transferred: 444985 Messages No Valid Rcpts: 0 SMTP SESSION, MESSAGE, OR RECIPIENT ERRORS —————————————— 明天 STATISTICS ———- Messages To Recipients: 153 Addressed Recipients: 279 Bytes Transferred: 8613451 Messages No Valid Rcpts: 0 SMTP SESSION, MESSAGE, OR RECIPIENT ERRORS —————————————— 我怎样才能更多地查询电子邮件ID到哪里发送,计划哪些安排等等 ?
我有一个非常繁忙的网站。 用户可以创build许多types的内容,然后可以将其投票上/下,报告为冒犯性,pipe理员启用/禁用等。我希望启用审核网站上执行的所有操作。 我正在使用的数据库是SQL Server 2005.我有两个选项在我的脑海。 第一个是一个大的表,其中包含审计屏幕所需的大部分细节,即在此表中复制内容片段以消除join其他表的需要。 第二个解决scheme是为每种types的内容都有一个单独的审计表。 这使得为用户检索审计日志变得更加复杂,例如,因为他们可能涉及许多不同types的内容,因此我需要从许多不同的表中检索数据。 所以这似乎是表格大小和查询简单性之间的折衷。 这里有没有什么经验法则 – 或者明显的是哪种方法更好?
aureport命令有两个选项可以将显示的事件列表限制为成功事件列表和失败事件列表。 根据手册页: –failed Only select failed events for processing in the reports. The default is both success and failed events. –success Only select successful events for processing in the reports. The default is both success and failed events. 这是什么意思? 关于实际事件(例如,返回非零的系统调用)的失败/成功还是失败/成功应用于审计以及处理事件是否存在问题?
我试图找出哪些进程正在从特定的目录中删除文件,所以我想设置和运行我的系统上的auditd 。 我在audit.rules设置了以下规则: -w S unlink -S truncate -S ftruncate -a exit,always -k cache_deletion -w /home/myfolder/cache 然后我input这个来启动审计守护进程: auditctl -R /etc/audit/audit.rules -e 1 但是我得到这个错误消息: Error – nested rule files not supported 有谁知道我在这里做错了什么,我怎么能解决这个问题? 另外,我需要做些什么才能让守护进程在启动时运行?
我目前已经启用了SELinux,并且已经能够configurationApache来允许通过chcon命令访问/ home / src / web,授予“httpd_sys_content_t”types。 但是现在我正在尝试从同一目录提供rsyslogd.conf文件,但每次启动rsyslogd时,都会在我的审计日志中看到一条logging,说明rsyslogd被拒绝访问。 我的问题是,是否有可能授予两个应用程序访问同一目录的能力,同时仍然保持SELinux启用? / home / src上的当前perms: drwxr-xr-x. src src unconfined_u:object_r:httpd_sys_content_t:s0 src 审核日志消息: type=AVC msg=audit(1349113476.272:1154): avc: denied { search } for pid=9975 comm="rsyslogd" name="/" dev=dm-2 ino=2 scontext=unconfined_u:system_r:syslogd_t:s0 tcontext=system_u:object_r:home_root_t:s0 tclass=dir type=SYSCALL msg=audit(1349113476.272:1154): arch=c000003e syscall=2 success=no exit=-13 a0=7f9ef0c027f5 a1=0 a2=1b6 a3=0 items=0 ppid=9974 pid=9975 auid=500 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 […]
我试图在Windows 2008 R2服务器上审计文件访问,并且(我的错)启用了整个卷(比如磁盘e :)。 当然,我在安全日志中获得了大量的条目,这是一个很大的处理,甚至在试图理解这个问题的时候更大。 无论如何,我删除了SACL的卷(属性,安全,高级,审计),但所有的文件访问不断审计。 如果我在本地策略中禁用对象访问审计,系统将停止logging,但是当我创build一个testing文件夹时,设置其SACL并启用审计,即使自己的SACL为空,整个磁盘对象acccess也会重新开始审计。 我还在第一个文件夹级别设置和删除SACL,以防万一它是inheritance问题,但没有结果。 你们能帮我吗? 顺便说一句,我不使用高级审计。 TIA 乔治