Вопросы с тегом «audit»

42
Как я могу отслеживать открытые файлы процесса в реальном времени?

Я знаю, что могу просматривать открытые файлы процесса, lsof который в данный момент используется на моей машине с Linux. Однако процесс может открывать, изменять и закрывать файл так быстро, что я не смогу увидеть его при мониторинге с использованием стандартных сценариев оболочки (например...

22
Оглядываясь назад, время выполнения команды

Я только что выполнил длительный процесс из командной строки bash. Оглядываясь назад, я хотел бы поработать timeнад этим или записать время, когда я его начал. Есть ли способ получить эту информацию ретроспективно? .bash_history, Кажется, не включают в себя временные метки. В моем конкретном случае...

13
Как регистрировать все системные вызовы, сделанные процессом и его потомками, с помощью audd

я могу сделать auditctl -a always,exit -S all -F pid=1234 Чтобы записать все системные вызовы, сделанные pid 1234 и: auditctl -a always,exit -S all -F ppid=1234 Для своих детей, но как мне охватить внуков и их детей (нынешних и будущих)? Я не могу полагаться на (e) uid / (e) gid, которые меняются....

11
Есть ли простой способ регистрировать все выполненные команды, включая аргументы командной строки?

Я пытаюсь найти способ регистрации конкретного экземпляра, rrdtoolчтобы увидеть, является ли путь, который он получает, неверным. Я знаю, что мог бы обернуть исполняемый файл в сценарий оболочки, который бы регистрировал параметры, но мне было интересно, есть ли более специфичный для ядра способ...

11
Как отключить бесполезные записи журнала «успех аудита» в dmesg

Краткая версия: Как отключить сообщения аудита (dmesg) в системе Fedora? Система Fedora продолжает регистрировать сообщения «аудит: успех» в dmesg - таким экстремальным образом, что dmesg стал непригодным для использования, потому что он заполнен этими сообщениями ( dmesg | grep -v auditпуст). Эти...

9
Показать историю файла (список пользователей, которые изменили файл)

Существует ли команда для отображения списка пользователей, которые изменили файл, предоставив историю файлов? Я знаю, что это возможно с svn / git и т. Д., Но у нас есть файл конфигурации, которого нет в SVN, и кто-то изменил...

8
Как добавить данные подключения к сети или источнику пользователя в записи истории?

Я хотел бы изменить настройки истории для всех пользователей в системах, которыми я управляю. Я хотел бы, чтобы он содержал информацию от соединительного терминала, как изwho sysadmin:/ # who sysadmin pts/0 Mar 26 07:11 (sysadmin.doofus.local) В настоящее время я изменяю свою историю следующими...

8
Как лучше всего отследить приключения начинающего администратора

У меня есть этот пользователь, который имеет ограниченные привилегии sudo, но ему удается время от времени облажаться. Я хотел бы следить за его приключениями, чтобы я мог отменить любой урон с меньшим количеством копания. В идеале я хотел бы, чтобы сервис со следующей функциональностью был хорошо...

1
Аудит команд GDB

Есть ли способ, которым я могу регистрировать все команды GDB, выполненные пользователем? И логирование на уровне пользователя? Может ли какой-либо другой инструмент, например, gdbserver, помочь в этом...