Sujet Précédent Sujet Suivant

Audit.log

Résolu/Fermé
MyTux Messages postés 222 Date d'inscription mardi 29 janvier 2008 Statut Membre Dernière intervention 26 mars 2013 - 15 janv. 2013 à 10:40
mamiemando Messages postés 33079 Date d'inscription jeudi 12 mai 2005 Statut Modérateur Dernière intervention 23 avril 2024 - 18 janv. 2013 à 10:18
Bonjour,

Je voudrais savoir si il y a la possibilité de logguer le nom d'utilisateur dans les logs audit.log. Car actuellement, l'information utilisateur est sous la forme uid, mais lorsque les logs sont envoyés à un rsyslog il serait plus simple d'avoir le username directement.

Quelqu'un aurait - il une solution?

Merci,
Mytux.

6 réponses

Réponse 1 / 6
mamiemando Messages postés 33079 Date d'inscription jeudi 12 mai 2005 Statut Modérateur Dernière intervention 23 avril 2024 7 749
15 janv. 2013 à 10:44
Il faudrait commencer regarder dans la documentation (le man) du programme qui génère ce fichier. Peux-tu nous indiquer duquel il s'agit, ça faciliterait les recherches ? Car tu n'es sans doute pas la première personne à te poser la question.

Bonne chance
0
Réponse 2 / 6
MyTux Messages postés 222 Date d'inscription mardi 29 janvier 2008 Statut Membre Dernière intervention 26 mars 2013 44
15 janv. 2013 à 10:56
Bonjour,

Le man a déjà été consulté, et le service générant ce fichier est auditd.

Merci,
Mytux.
0
Réponse 3 / 6
mamiemando Messages postés 33079 Date d'inscription jeudi 12 mai 2005 Statut Modérateur Dernière intervention 23 avril 2024 7 749
15 janv. 2013 à 20:42
Si j'en crois ce qui est dit ici :
http://doc.opensuse.org/products/draft/SLES/SLES-security_sd_draft/cha.audit.comp.html

... c'est le rôle de aureport (voir 30.5.2) de traduire les logs écrits dans audit.log dans un format plus compréhensible.

Peut-être que dans ton cas ce que tu cherches est : 

aureport -l -i


Si tu cherches une entrée particulière, ausearch est sans doute plus adapté (voir 30.6).

Bonne chance
0
Réponse 4 / 6
lekaf974
16 janv. 2013 à 03:39
pourquoi ne pas faire un script qui t'affiche le nom d'utilisateur à partir du uid avec sed c'est pas très difficile à mettre en place, exemple : 
sed -i -e "s/uid/nomd'utilisateur/g" audit.log
0
mamiemando Messages postés 33079 Date d'inscription jeudi 12 mai 2005 Statut Modérateur Dernière intervention 23 avril 2024 7 749
16 janv. 2013 à 10:15
pourquoi ne pas faire un script qui t'affiche le nom d'utilisateur à partir du uid avec sed c'est pas très difficile à mettre en place, exemple :
sed -i -e "s/uid/nomd'utilisateur/g" audit.log

À mon avis c'est une mauvaise idée :
- tu risques de "seder" des valeurs numériques qui ne sont pas des UIDs
- si ausearch, aureport (etc...) s'attendent à trouver des UIDs dans ce fichier, tu risques en faisant ce sed d'en empêcher par la suite le bon fonctionnement.

Mais bon je ne connais pas très bien ces outils, peut-être que je me trompe. En tout cas il me paraît plus prudent de travailler sur une copie de audit.log.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 6
MyTux Messages postés 222 Date d'inscription mardi 29 janvier 2008 Statut Membre Dernière intervention 26 mars 2013 44
18 janv. 2013 à 07:39
Bonjour,

Tout d'abord merci pour ces indications, la commande ausearch je la connais. La problématique n'était pas d'interpréter les logs en local les outils d'auditd le font très bien. C'était plus dans le cas d'un concentrateur de log qui ne possède pas le démon auditd donc pas les tools nécessaires.

Après étude, il semblerait que l'on retombe sur nos pattes en faisant une corrélation de logs.

@lekaf974: je n'apprécie pas trop ta "solution", car tu viens apporter une action "humaine" au log sans être à l'abris d'erreur et dans le cadre d'un audit, je ne pense pas que cela soit apprécié. En faisant cela tu ne leur garanti pas l'intégrité des logs et de plus ils pourront même suspecter que tu caches des choses...

Merci encore,
Mytux.
0
Réponse 6 / 6
mamiemando Messages postés 33079 Date d'inscription jeudi 12 mai 2005 Statut Modérateur Dernière intervention 23 avril 2024 7 749
18 janv. 2013 à 10:18
Dans le cas de ton concentrateur de log, rien n'empêche de faire un travail amont avec aureport au niveau de chaque machine monitorée et ensuite d'uploader le résultat vers ton concentrateur de logs...

Autre solution, tu écris sur ton concentrateur de log un script qui se connecte en ssh (par exemple avec des clés ssh) sur chaque machine monitoré et qui lance la commande aureport approprié, et tu stockes le résultat en local.

Un truc dans ce genre : 

for ip in $(cat /root/ips.txt); do (ssh root@$ip aureport -l -i) >  /tmp/report_$ip; done


Bonne chance
0