Logger l'ensemble des commandes Shell utilisateur

Contenu

Le but est de centraliser et de pouvoir externaliser l’ensemble des logs d’Auditd via rsyslog

auditd

Installation

apt install auditd

Configuration

Dans les regles auditd /etc/audit/rules.d/audit.rules ou /etc/auditd.conf suivant la distribution, ajouter les regles suivante :

  • pour logger les event root

    -a exit,always -F arch=b64 -F euid=0 -S execve -k rootact
    -a exit,always -F arch=b32 -F euid=0 -S execve -k rootact
  • pour logger les events des utilisateurs superieurs a 1000

    -a exit,always -F arch=b64 -F euid>=1000 -S execve -k useract
    -a exit,always -F arch=b32 -F euid>=1000 -S execve -k useract

Consultation

aureport permet de faire des recherches dans les logs d’auditd.

Par exemple : aureport --tty -ts today

rsyslog

soon :)


Pascal
Tips   Shell   auditd  

comments powered by Disqus