У меня есть сервер, на котором запущен auditd и prelude с плагином audisdp-prelude. В настоящее время я получаю события для нескольких типов входа в систему, например sshd и gdm. Однако я, кажется, никогда не получаю данные для входа в vsftpd. Я знаю, что могу изменить конфигурацию vsftpd и сделать вывод в файл, а затем проанализировать его с помощью prelude-lml, но я бы предпочел, чтобы auditd отправлял мне событие, чтобы мне не приходилось этого делать. Я вижу, что auditd на самом деле проверяет логины, но по какой-то причине он не пересылает их, как это делается для всего остального. Я использую отдельный сервер prelude-manager, который я пытаюсь использовать для сбора всех событий, достойных внимания.
Извините за задержку. Вы это исправили? Если не, http://www.sriramrajan.com/mw/index.php/Linux-Auditd может быть полезно.
и вообще ... Чтобы использовать средство аудита, вам необходимо использовать следующие утилиты => auditctl - команду для помощи в управлении системой аудита ядра. Вы можете получить статус, а также добавить или удалить правила в системе аудита ядра. Установка часов для файла выполняется с помощью этой команды:
=> ausearch - команда, которая может запрашивать журналы демона аудита на основе событий, основанных на различных критериях поиска.
Он говорит .... экспортируйте журналы vsftpd через syslog в файл и выполняйте фильтрацию из auditd. Это похоже на то, что вы думали о prelude-lml.