我在CentOS 5.8最后 我最近yum install audit通过yum install audit但我无法启动它。 我编辑了configuration文件,给出了一个详细的错误输出,它是在启动时收到的错误,这是输出: # service auditd start Starting auditd: Config file /etc/audit/auditd.conf opened for parsing log_file_parser called with: /var/log/audit/audit.log log_format_parser called with: RAW log_group_parser called with: root priority_boost_parser called with: 4 flush_parser called with: INCREMENTAL freq_parser called with: 20 num_logs_parser called with: 4 qos_parser called with: lossy dispatch_parser called with: […]
我需要在Windows Server 2008 R2计算机上启用审核特定networking共享文件夹(及其所有子项)的删除操作。 我能find的最接近这篇文章 – http://www.intelliadmin.com/index.php/2008/03/use-auditing-to-track-who-deleted-your-files/,但它涉及到2003年。 在注释中,一个人注意到EventID 560和564与Win 2003无关。他们build议在Win 2008上删除EventID 4656,但在安全日志中找不到任何这些事件。 右键单击文件夹后,通过安全选项卡选项启用审核。 引用链接中的另一个注释表明,必须在本地文件系统和服务器上启用审计,并且该组策略可以覆盖任何本地策略。 我试图在本地策略\审核策略\审核对象访问下的本地安全策略中启用审核,但似乎每次closures策略控制台都会被删除。 我是服务器上的本地pipe理员,但不是域pipe理员,有点卡在这一点上。 任何指针将主要赞赏。
截至本周,组织中的所有域pipe理员都必须提交背景和信用检查以维护这些权利,并且很可能延续就业(毕竟,没有任何权限的组织的域pipe理员有什么用途)。 这对我们来说似乎有点矫枉过正。 虽然我们是一家大型的跨国自然资源公司,但我们不是一个军事,政府或医疗机构,我们当然也不会和孩子们一起工作(虽然在一些会议上也有这种感觉 )。 所以,我想我的一个相当普遍和开放的问题是: 你有没有受到背景,安全和信用检查的责任? 如果是的话,是什么types的组织? 你觉得这是保证,还是矫枉过正? 思考和意见表示赞赏
我想为特定的用户/连接审核日志,而不是应用程序本身。 任何时候客户端手动连接到具有特定凭证的服务器,我想要查询日志,并启用二进制日志。 这是可能的,我将如何激活只有该用户/连接的日志,而忽略应用程序运行的语句? 谢谢, 沃尔特
我使用auditctl并获取大量的日志事件的crond。 我不希望logging任何cron / crond事件。 node=127.0.0.1 type=CRED_DISP msg=audit(1405678801.149:5571): user pid=1757 uid=0 auid=0 subj=system_u:system_r:crond_t:s0-s0:c0.c1023 msg='PAM: setcred acct="root" : exe="/usr/sbin/crond" (hostname=?, addr=?, terminal=cron res=success)' node=127.0.0.1 type=USER_END msg=audit(1405678801.150:5572): user pid=1757 uid=0 auid=0 subj=system_u:system_r:crond_t:s0-s0:c0.c1023 msg='PAM: session close acct="root" : exe="/usr/sbin/crond" (hostname=?, addr=?, terminal=cron res=success)' node=127.0.0.1 type=USER_ACCT msg=audit(1405678921.158:5573): user pid=2017 uid=0 auid=4294967295 subj=system_u:system_r:crond_t:s0-s0:c0.c1023 msg='PAM: accounting acct="root" : exe="/usr/sbin/crond" (hostname=?, addr=?, terminal=cron […]
我有一个SQL框,我想退役。 在这之前,我想了解所有可能依赖机器的应用程序,而不是只closures它,听到人们尖叫。 做这个的最好方式是什么? 我知道我可以运行一段时间的SQL跟踪获取login信息等 – 有没有其他的方式? 我想知道更多关于调用者,包括请求来自的IP地址或计算机名称,应用程序名称,凭证。 大多数情况下,我想以某种方式知道是否有许多应用程序可能运行在一个与相似的凭据调用框。 我也希望能够知道有2个应用程序(例如),而不是他们看起来像一个。 如果SQL Server本身没有给我这个服务器级别的其他工具,我可以利用?
我们正试图获得一个新的证书/标签。 为了获得这个证书/标签,我们需要监视在Microsoft Exchange中创build邮箱。 我们目前正在使用Microsoft ACS(审核收集服务),但是如果创build了一个邮箱,我们无法在日志中find它。 evntvwr没有任何东西。 有没有办法在Exchange 2003/2010中logging新邮箱的创build?
我正在对PCI-DSS进行一些审计,特别是“审计目录服务访问”。 这创build了大量的日志,主要基于以相同方式访问的几个特定的重复性属性。 我已经能够通过TechNet识别这些属性。 在“AD用户和计算机”的审核用户界面中,我所遇到的问题都不存在。 我想我可以在adsiedit中编辑架构设置并禁用inheritance? 这似乎违反直觉,但它应该工作。
我收到了Autodesk的一封信,要求提供“许可证评估”。 我理解它是一个软件审计。 他们打算远程执行。 问题是,我是一名自由职业者,我没有使用任何软件资产pipe理软件,而且最近刚刚换出新的硬盘驱动器,并进行了全面的安装,然后我收到了Autodesk的这个请求。 现在我的硬盘上几乎没有任何东西。 软件审计人员在遇到这种情况时会做什么? 他们(他们是否被允许)联系我的客户(该信息遍布networking),以获取信息,因为他们什么都没有发现在这里?
我想知道一些Windows PC的硬件和软件信息。 这包括软件注册的许可证。 我希望将这些信息放在一个简单的文本文件中。 这可能吗?