最近,我试图通过禁用“过滤平台数据包丢失”审计来减less安全审计的垃圾邮件。 在一周的时间里,我得到了足够的这些审计,填补了一个200Mb的日志文件。 我试着用高级审计策略来禁用这个function。 我不了解,该系统目前正在使用传统的审计系统,而这种先进的审计策略会导致我所有的审计无效。 我使用组策略传播了这一点,因为我们所有的策略都是这样设置的,所以它也杀死了我的Windows 7机器。 我已经能够恢复在我的Windows 7计算机上的审计,我试图应用相同的修复程序到我的2008服务器,但我看到的是一堆“审计策略已更改”事件。 为7台机器工作的修复方法是2 。 Find HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA Right-click SCENoApplyLegacyAuditPolicy, and then click Modify. Type 0 in the Value data box, and then click OK. auditpol.exe /get /category:*报告我的系统上没有启用审计。 我怎样才能在我的机器上恢复审计而不必将机器恢复到非常过时的硬盘映像?
有没有办法审计访问USB驱动器与内置的Windows日志logging? 我们已经在我们服务器的NTFS文件系统上进行了基于GP的审计,但是我们如何将其扩展到工作站呢? 无法保证通过USB将什么样的文件系统插入工作站。 它可能是NTFS或FAT32。 我们需要这样做的原因是有可能未经授权复制公司文件的logging。 注意:我们也限制了大部分机器的USB接入。 这是有效的,但事实certificate,请求(和被给予)例外的人也是那些可以访问非常敏感的信息的人。 环境: – Windows 2008 R2 Server AD – Windows 7 Pro工作站
嗨我们正在使用四个Linux服务器上的应用程序。 应用程序只是简单地使用脚本生成报告…现在对于三个服务器审计日志正在/ var / log / audit目录中生成(如下),但对于一个服务器没有日志正在生成。 [root@mhedr5 logs]# ls -ltr /var/log/audit |tail total 24748 -r——–. 1 root root 6291614 Jun 4 11:45 audit.log.4 -r——–. 1 root root 6291485 Jun 4 20:26 audit.log.3 -r——–. 1 root root 6291563 Jun 5 05:40 audit.log.2 -r——–. 1 root root 6291676 Jun 5 14:52 audit.log.1 -rw——-. 1 root root […]
我的audispd不断logging大量的队列满错误。 Jun 9 08:46:29 web audispd: queue is full – dropping event 我想更好地理解为什么队列正在填满,以及是否有更好的方法来解决这个问题,而不是继续增加q_depth(目前为300)。 我的想法是,我不应该看到这么多的消息,队列不能被处理。 那么,我怎样才能找出队列中的内容以及为什么没有被刷新呢? (不应该有很多事件,这是一个非常安静的Web服务器)
PCI DSS 10.2说:“ 为所有系统组件实施自动审计跟踪以重新构build以下事件: ”和10.2.2继续: “ 任何具有根或pipe理权限的个人采取的所有行动 ”。 我正在努力使我们的Windows机器(Windows 7,8&2008R2)发生这种情况。 OSSEC可以将更改logging到文件和registry项中,但是由于不logging是谁进行了更改,所以对此要求不太合适。 我尝试使用Windows中的内置审计策略, 依此 : http : //blog.jakeeliasz.com/2014/04/03/part-1-audit-trails-in-pci-dss-v3-0-logging -in窗口/ 所以我跑了secpol.msc,去“本地策略”>“审计策略”,并启用所有条目的成功和失败。 接下来,我select了一个很less碰到的数据文件夹作为testing:“属性”>“安全”>“高级”>“审计”>“添加” Select a principal: Administrators Type: All Access: Full control Advanced Permissions: Only write, create and execute-related permissions checked. 这确实会logging对文件夹中所有文件的访问,但问题是现在事件日志中不仅包含pipe理员组的显式成员,而且还包括来自任何具有pipe理员权限的进程(例如防病毒stream程)。 此外,请注意,上述只是一个很less访问的文件夹 – 我将不得不添加日志logging所有系统文件夹等,这将使日志泛滥更糟糕。 我怎样才能loggingpipe理员用户所做的所有活动(按照上述10.2.2),而没有任何额外的噪音? 此外,上述审计涵盖文件系统更改,但如何审核关键的registry更改 ? 如果符合上述要求,最好不要在商业产品上花费很多钱。
我正在研究触发我们监控软件的login失败问题。 研究这个问题,我能find的唯一的其他信息正是我所看到的,在这里: 事件4625审计失败NULL SID失败的networkinglogin 试图跟踪这个,我使用过程监视器,并设置2个filter: 进程是lsass.exe 结果不成功。 然后,我将结果与失败的审计尝试进行匹配,并且似乎与stream程监视器中的这两行相对应,因为他们每次都在审计失败的确切时间显示: 1:05:47.4932903 PM lsass.exe 896 RegOpenKey HKLM\Software\Policies\Microsoft\SystemCertificates\Root\ProtectedRoots NAME NOT FOUND Desired Access: Read 1:05:47.4941867 PM lsass.exe 896 RegQueryValue HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ForceAutoLockOnLogon NAME NOT FOUND Length: 144 我不知道我是否正在寻找正确的位置来追踪这个问题,或者现在该怎么做。 有什么build议么? 我是新的serverfault,所以我不能评论或回答上面的链接的问题,但会好奇,如果他/她看到了与进程监视器相同的结果。 这是一个事件查看器事件: An account failed to log on. Subject: Security ID: SYSTEM Account Name: %domainControllerHostname%$ Account Domain: %NetBIOSDomainName% Logon ID: 0x3E7 […]
我注意到/ tmp中有很多空的文件,其名称类似于“/tmp/tmp.tMIHx17730”。 我运行审计规则,我发现mktemp创build它不是太有用。 如何找出哪个脚本调用mktemp来创build这些文件? 我可以用auditd捕获父进程ID /命令行吗? 更新:我相信我有父进程id(ppid = 17729),但脚本很快退出,我找不到脚本。 我可以安装auditd以获得父进程命令行吗? 更新2:这里是我如何安装审计显示whatwrites tmp: auditctl -w /tmp -k tmpfiles 然后: ausearch -k tmpfiles|grep "tmp." 然后,我select一个文件,我做到了 ausearch -k tmpfiles -f /tmp/tmp.tMIHx17730 这显示了我创build文件和父进程pid的过程。 我需要设置一些启动监听器的进程来捕捉那个pid最近的进程
我手边有以下情况。 我在/ usr / bin中有一个或多个特定的可执行文件,我将调用一个/ usr / bin / execute,它们可以是编译的二进制文件或脚本文件,例如perl或python脚本。 我想logging任何用户启动这些特定的二进制文件。 我想从这里得到的信息基本上是: 可执行文件的名称/path 给予可执行文件的参数 执行该操作的用户 date/时间 此外,如果需要,我希望这些信息的格式是合乎逻辑的。 审计看起来像是一个不错的select,但它有一个奇怪的方式,由于某种原因将上面的信息分成两个条目。 例如,在上面的例子中,我想跟踪程序/ usr / bin / execute的运行。 我将把这些语句添加到auditctl: -a exit,always -F arch=b32 -S execve -a exit,always -F arch=b64 -S execve (我还没有能够find如何指定“/ usr / bin / execute”作为唯一的login,我会感谢从谁知道如何做到这一点的人的帮助) 在运行/ usr / bin /执行一个参数后的日志中,我得到以下两个相关条目: type=SYSCALL msg=audit(1447688181.106:819746): arch=c000003e syscall=59 success=yes exit=0 a0=2898528 […]
在设置了auditctl的规则之后,我想把这些匹配的logging发送到我的Python脚本中作进一步的分析。 这些是涉及的文件: auditdlogging: type=PATH msg=audit(1451011319.268:533): … type=CWD msg=audit(1451011319.268:533): cwd=”/home/root” type=SYSCALL msg=audit(1451011319.268.230:533): … key=(null) /etc/audisp/audispd.conf是,如下所示, q_depth = 80 overflow_action = ignore priority_boost = 4 max_restarts = 10 name_format = HOSTNAME #name = mydomain /etc/audisp/plugin.d/的audispd插件configuration文件, active = yes direction = out path = /usr/bin/python type = always # two args, one is my Python script, the other […]
我想为IP地址(静态或DHCP)的每一个变化获得审计(事件查看器中的事件)。 我尝试在registry项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\Interfaces设置审计configuration以进行设置值操作。 当我在registry中更改IPAddress时,会看到一个用于该更改的审核项(事件ID 4657), 但是当我使用networking适配器的属性或使用netsh命令更改IP地址时,不会审核新IP的设置地址写入事件日志。 为什么更改不会显示在事件查看器日志中? 我在Windows 7和Windows 2012上试过。