Назад | Перейти на главную страницу

Как настроить auditd для сбора журналов из каталога файлов ядра / proc

Я искал это уже около 3 дней и пришел с пустыми руками. Я ищу способ создать предупреждение об угрозе для сброса учетных данных на базе Linux в Splunk.

Для этого мне нужно иметь возможность контролировать /proc каталог. Я нашел audit и auditd (audit deamon), но я не знаю, как на самом деле настроить auditd для мониторинга /proc. Если бы я мог это сделать, я мог бы подключить audit.log к Splunk.

Я хочу хотя бы контролировать:

/proc/<PID>/maps
/proc/<PID>/mem
/proc/<PID>/cmdline

Но в идеале я хочу контролировать все в /proc.

Кто-нибудь здесь когда-либо делал это? Если так, я был бы очень признателен за помощь.

Дополнительно: я нашел klogd (журнал ядра deamon), syslogd и комбинацию ps и top, но я не знаю, как настроить это на /proc либо, либо если это вообще то, что мне нужно.

Любой совет приветствуется!

Я, конечно, открыт для других методов и идей.

Есть несколько вариантов, например, Filebeat + Graylog (см. Запись на https://www.graylog.org/post/back-to-basics-working-with-linux-audit-daemon-log-file), и вы также можете вести журнал аудита Linux с помощью NXLog (см. https://nxlog.co/documentation/nxlog-user-guide/linux-audit.html)