Articles of 审计

我怎样才能生成和检查对OpenLDAP数据库所做的更改的审计跟踪，比如哪个用户是由谁创build的，由谁编辑，编辑什么等等。

使用auditd系统通过符号链接观察目录几乎不会触发任何日志。 情况如下： # pwd /home/root/serverfault # ls -l total 4 drwxr-xr-x 2 root root 4096 Sep 1 15:12 dir lrwxrwxrwx 1 root root 3 Sep 1 15:12 p -> dir # auditctl -w /home/root/serverfault/p -p rwxa -k PX 我有一个天真的印象，任何时候我会读/写在/home/root/serverfault/p目录中的文件，日志将出现在/var/log/audit/audit.log 。 但他们没有。 另外，如果我这样做，没有审计日志： # echo hello > /home/root/serverfault/p/hello.txt 我做了一些实验，使用strace在几个目录上运行ls ，并用auditctl(8)手册页中的信息评估输出。 strace输出中的一个有趣的线条使我认为审计日志应该已经生成了： open("/home/root/serverfault/p/", O_RDONLY|O_NONBLOCK|O_DIRECTORY|O_CLOEXEC) = 3 可能是因为open(2)默认符号链接。 […]

在Centos7的/etc/audit/audit.rules上面，它告诉我： ## This file is automatically generated from /etc/audit/rules.d 好吧，我去看了看，发现/etc/audit/rules.d/audit.rules 。 它有以下线 # Feel free to add below this line. See auditctl man page 我做了什么，并发现什么样子 ，也许是这样的select： -R file Read rules from a file. The rules must be 1 per line and in the order that they are to be executed in. The rule file must […]

我今天晚上安装了auditd，希望使用它来报告写入或附加到我的服务器上的目录树中的文件。 我已经使用auditctl成功configuration了规则，但是我找不到任何方法让ausearch或aureport命令给我所触及文件的文件名 – 我所看到的只是ausearch输出中的inode。 有什么命令行选项我可以使用它们输出mre有用的信息，或者其他一些实用工具，以更好地审计日志？

服务器pipe理网站控制服务器。 所以例如我按保存button，然后将更新Linux服务器上的configuration。 它login到服务器，然后更新configuration文件。 示例validation日志： Aug 13 20:07:19 ladev sshd[14141]: pam_unix(sshd:session): session opened for user root by (uid=0) Aug 13 20:07:19 ladev systemd: pam_unix(systemd-user:session): session opened for user root by (uid=0) Aug 13 20:07:19 ladev systemd-logind[1426]: New session 235 of user root. Aug 13 20:07:19 ladev sshd[14141]: Received disconnect from 10x.236.2xx.xxx port 50291:11: disconnected by user […]

我试图find一种命令行方式来从本地安全策略中获取安全设置。 特别是安全设置>本地策略>审核策略。 政策和当前安全设置的列表。 能够看到政策是可编辑的，或者如果从其他来源设置是一个奖金，但不是必需的。 本地安全策略窗口中有问题的设置：

是否有可能通过组策略（或其他方式？），强制所有的Windows服务器和客户端计算机打开networking连接审计日志logging，但仅用于拒绝的networking连接，没有logging成功的连接？ 我当前的Windows事件 – 安全日志充满了我不想logging的允许的networking连接

我是一家公司的老板。 我想保留一个可以root访问CentOS系统的Unixpipe理员的审计线索。 我怎样才能configuration它，使审计跟踪不能被绕过和删除，即使是Root用户？ 提前致谢！

我正在试图追踪serverhosting客户的网站上的一个分手的原因。 auditd是一个很好的帮助，告诉我当恶意软件（该网站是一个混乱的东西，但不是我的，即使我想清除）的激活和拧紧的网站，还有一点什么目录看，但审计日志很难阅读，因为它还会logging每两分钟连接一次的监视脚本中的ssh活动以检查各种状态，以及另一个由cron触发的监视系统。 我已经在auditctl中做了几次尝试，告诉它停止报告这些： root@zelia:/var/log/audit# auditctl -l -a never,user -F auid=116 -a never,task -F auid=116 -a never,exit -S all -F auid=116 -a never,exit -S all -F uid=116 （UID 116，用户'meminfo'是我想压制的那个） 但是，每隔几分钟我仍然得到以下内容： type=USER_ACCT msg=audit(1491386883.189:462708): pid=1502 uid=0 auid=4294967295 ses=4294967295 msg='op=PAM:accounting acct="meminfo" exe="/usr/sbin/sshd" hostname=prtg.systemec.nl addr=89.20.80.149 terminal=ssh res=success' type=CRED_ACQ msg=audit(1491386883.189:462709): pid=1502 uid=0 auid=4294967295 ses=4294967295 msg='op=PAM:setcred acct="meminfo" exe="/usr/sbin/sshd" hostname=monitor.company.internal addr=89.20.80.149 terminal=ssh res=success' […]

在AWS中，我可以使用CloudTrail监视可能影响IAM组和angular色的API调用。 在Google App Engine中，是否有类似CloudTrail的产品？ 在Google Cloud Platform中，据我所知，“IAM＆Admin”面板仅允许pipe理和显示基本信息IAM用户和服务帐户。 懒散的驱动程序似乎也没有提供审计线索（该function目前处于内部testing版，不推荐用于生产用途： https ： //cloud.google.com/monitoring/access-control ）。 任何build议是值得欢迎的。