Audit.log
Résolu/Fermé
MyTux
Messages postés
222
Date d'inscription
mardi 29 janvier 2008
Statut
Membre
Dernière intervention
26 mars 2013
-
15 janv. 2013 à 10:40
mamiemando Messages postés 33079 Date d'inscription jeudi 12 mai 2005 Statut Modérateur Dernière intervention 23 avril 2024 - 18 janv. 2013 à 10:18
mamiemando Messages postés 33079 Date d'inscription jeudi 12 mai 2005 Statut Modérateur Dernière intervention 23 avril 2024 - 18 janv. 2013 à 10:18
6 réponses
mamiemando
Messages postés
33079
Date d'inscription
jeudi 12 mai 2005
Statut
Modérateur
Dernière intervention
23 avril 2024
7 749
15 janv. 2013 à 10:44
15 janv. 2013 à 10:44
Il faudrait commencer regarder dans la documentation (le man) du programme qui génère ce fichier. Peux-tu nous indiquer duquel il s'agit, ça faciliterait les recherches ? Car tu n'es sans doute pas la première personne à te poser la question.
Bonne chance
Bonne chance
MyTux
Messages postés
222
Date d'inscription
mardi 29 janvier 2008
Statut
Membre
Dernière intervention
26 mars 2013
44
15 janv. 2013 à 10:56
15 janv. 2013 à 10:56
Bonjour,
Le man a déjà été consulté, et le service générant ce fichier est auditd.
Merci,
Mytux.
Le man a déjà été consulté, et le service générant ce fichier est auditd.
Merci,
Mytux.
mamiemando
Messages postés
33079
Date d'inscription
jeudi 12 mai 2005
Statut
Modérateur
Dernière intervention
23 avril 2024
7 749
15 janv. 2013 à 20:42
15 janv. 2013 à 20:42
Si j'en crois ce qui est dit ici :
http://doc.opensuse.org/products/draft/SLES/SLES-security_sd_draft/cha.audit.comp.html
... c'est le rôle de aureport (voir 30.5.2) de traduire les logs écrits dans audit.log dans un format plus compréhensible.
Peut-être que dans ton cas ce que tu cherches est :
Si tu cherches une entrée particulière, ausearch est sans doute plus adapté (voir 30.6).
Bonne chance
http://doc.opensuse.org/products/draft/SLES/SLES-security_sd_draft/cha.audit.comp.html
... c'est le rôle de aureport (voir 30.5.2) de traduire les logs écrits dans audit.log dans un format plus compréhensible.
Peut-être que dans ton cas ce que tu cherches est :
aureport -l -i
Si tu cherches une entrée particulière, ausearch est sans doute plus adapté (voir 30.6).
Bonne chance
pourquoi ne pas faire un script qui t'affiche le nom d'utilisateur à partir du uid avec sed c'est pas très difficile à mettre en place, exemple :
sed -i -e "s/uid/nomd'utilisateur/g" audit.log
mamiemando
Messages postés
33079
Date d'inscription
jeudi 12 mai 2005
Statut
Modérateur
Dernière intervention
23 avril 2024
7 749
16 janv. 2013 à 10:15
16 janv. 2013 à 10:15
pourquoi ne pas faire un script qui t'affiche le nom d'utilisateur à partir du uid avec sed c'est pas très difficile à mettre en place, exemple :
sed -i -e "s/uid/nomd'utilisateur/g" audit.log
À mon avis c'est une mauvaise idée :
- tu risques de "seder" des valeurs numériques qui ne sont pas des UIDs
- si ausearch, aureport (etc...) s'attendent à trouver des UIDs dans ce fichier, tu risques en faisant ce sed d'en empêcher par la suite le bon fonctionnement.
Mais bon je ne connais pas très bien ces outils, peut-être que je me trompe. En tout cas il me paraît plus prudent de travailler sur une copie de audit.log.
sed -i -e "s/uid/nomd'utilisateur/g" audit.log
À mon avis c'est une mauvaise idée :
- tu risques de "seder" des valeurs numériques qui ne sont pas des UIDs
- si ausearch, aureport (etc...) s'attendent à trouver des UIDs dans ce fichier, tu risques en faisant ce sed d'en empêcher par la suite le bon fonctionnement.
Mais bon je ne connais pas très bien ces outils, peut-être que je me trompe. En tout cas il me paraît plus prudent de travailler sur une copie de audit.log.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
MyTux
Messages postés
222
Date d'inscription
mardi 29 janvier 2008
Statut
Membre
Dernière intervention
26 mars 2013
44
18 janv. 2013 à 07:39
18 janv. 2013 à 07:39
Bonjour,
Tout d'abord merci pour ces indications, la commande ausearch je la connais. La problématique n'était pas d'interpréter les logs en local les outils d'auditd le font très bien. C'était plus dans le cas d'un concentrateur de log qui ne possède pas le démon auditd donc pas les tools nécessaires.
Après étude, il semblerait que l'on retombe sur nos pattes en faisant une corrélation de logs.
@lekaf974: je n'apprécie pas trop ta "solution", car tu viens apporter une action "humaine" au log sans être à l'abris d'erreur et dans le cadre d'un audit, je ne pense pas que cela soit apprécié. En faisant cela tu ne leur garanti pas l'intégrité des logs et de plus ils pourront même suspecter que tu caches des choses...
Merci encore,
Mytux.
Tout d'abord merci pour ces indications, la commande ausearch je la connais. La problématique n'était pas d'interpréter les logs en local les outils d'auditd le font très bien. C'était plus dans le cas d'un concentrateur de log qui ne possède pas le démon auditd donc pas les tools nécessaires.
Après étude, il semblerait que l'on retombe sur nos pattes en faisant une corrélation de logs.
@lekaf974: je n'apprécie pas trop ta "solution", car tu viens apporter une action "humaine" au log sans être à l'abris d'erreur et dans le cadre d'un audit, je ne pense pas que cela soit apprécié. En faisant cela tu ne leur garanti pas l'intégrité des logs et de plus ils pourront même suspecter que tu caches des choses...
Merci encore,
Mytux.
mamiemando
Messages postés
33079
Date d'inscription
jeudi 12 mai 2005
Statut
Modérateur
Dernière intervention
23 avril 2024
7 749
18 janv. 2013 à 10:18
18 janv. 2013 à 10:18
Dans le cas de ton concentrateur de log, rien n'empêche de faire un travail amont avec aureport au niveau de chaque machine monitorée et ensuite d'uploader le résultat vers ton concentrateur de logs...
Autre solution, tu écris sur ton concentrateur de log un script qui se connecte en ssh (par exemple avec des clés ssh) sur chaque machine monitoré et qui lance la commande aureport approprié, et tu stockes le résultat en local.
Un truc dans ce genre :
Bonne chance
Autre solution, tu écris sur ton concentrateur de log un script qui se connecte en ssh (par exemple avec des clés ssh) sur chaque machine monitoré et qui lance la commande aureport approprié, et tu stockes le résultat en local.
Un truc dans ce genre :
for ip in $(cat /root/ips.txt); do (ssh root@$ip aureport -l -i) > /tmp/report_$ip; done
Bonne chance