Я работаю над проектом, который требует некоторого аудита чтения / записи / модификации различных файлов. Кроме того, я должен регистрировать доступ по ftp, логины пользователей, изменения NTP / системного времени и т. Д. Есть ли хороший инструмент для UNIX, способный сделать все это, а также позволить мне экспортировать данные в удобный для чтения человеком формат?
Прямо сейчас я слежу за файловыми событиями, используя стандартный инструмент аудита UNIX с командами ausearch и т. Д. Это работает нормально, однако в нем много болтовни, и я не особо хочу писать сценарии для анализа всех этих файлов. Я также очень хотел бы, чтобы вещи были написаны в удобочитаемом формате, а не разбирались постфактум. Учитывая, что наш клиент хочет иметь возможность экспортировать эти журналы аудита и читать их с помощью основных инструментов (веб-браузер / текстовые редакторы), мне нужно, чтобы это было легко для глаз.
Любая помощь по этому поводу?
Ура.
Изменения файла: AIDE
И для логов: Logcheck
Вы можете настроить его, чтобы он отображал определенные записи в журналах.
Моя рекомендация - это инструмент OSSEC.
-Он выполняет проверку целостности файлов для обнаружения изменений в файлах (или каталогах)
-Он выполняет анализ журнала для обнаружения неудачных входов в систему, изменений времени и т. Д.
-Он с открытым исходным кодом, многоплатформенный и простой в установке.
Я использую его для соответствия PCI и для аудита своих систем и маршрутизаторов Linux (да, он также поддерживает маршрутизаторы Cisco через «безагентный»).
Ссылка на сайт: http://www.ossec.net
на ящиках Linux есть демон аудита.