Logger l'ensemble des commandes Shell utilisateur

Le but est de centraliser et de pouvoir externaliser l’ensemble des logs d’Auditd via rsyslog

auditd

Installation

apt install auditd

Configuration

Dans les regles auditd /etc/audit/rules.d/audit.rules ou /etc/auditd.conf suivant la distribution, ajouter les regles suivante :

  • pour logger les event root
-a exit,always -F arch=b64 -F euid=0 -S execve -k rootact
-a exit,always -F arch=b32 -F euid=0 -S execve -k rootact
  • pour logger les events des utilisateurs superieurs a 1000
-a exit,always -F arch=b64 -F euid>=1000 -S execve -k useract
-a exit,always -F arch=b32 -F euid>=1000 -S execve -k useract

Consultation

aureport permet de faire des recherches dans les logs d’auditd.

Par exemple : aureport --tty -ts today

rsyslog

soon :)


Suggestions de lecture :

comments powered by Disqus