Le but est de centraliser et de pouvoir externaliser l’ensemble des logs d’Auditd via rsyslog
auditd
Installation
apt install auditd
Configuration
Dans les regles auditd /etc/audit/rules.d/audit.rules
ou /etc/auditd.conf
suivant la distribution, ajouter les regles suivante :
- pour logger les event root
-a exit,always -F arch=b64 -F euid=0 -S execve -k rootact
-a exit,always -F arch=b32 -F euid=0 -S execve -k rootact
- pour logger les events des utilisateurs superieurs a 1000
-a exit,always -F arch=b64 -F euid>=1000 -S execve -k useract
-a exit,always -F arch=b32 -F euid>=1000 -S execve -k useract
Consultation
aureport
permet de faire des recherches dans les logs d’auditd.
Par exemple : aureport --tty -ts today
rsyslog
soon :)