Я искал это уже около 3 дней и пришел с пустыми руками. Я ищу способ создать предупреждение об угрозе для сброса учетных данных на базе Linux в Splunk.
Для этого мне нужно иметь возможность контролировать /proc
каталог. Я нашел audit и auditd (audit deamon), но я не знаю, как на самом деле настроить auditd для мониторинга /proc
. Если бы я мог это сделать, я мог бы подключить audit.log к Splunk.
Я хочу хотя бы контролировать:
/proc/<PID>/maps
/proc/<PID>/mem
/proc/<PID>/cmdline
Но в идеале я хочу контролировать все в /proc
.
Кто-нибудь здесь когда-либо делал это? Если так, я был бы очень признателен за помощь.
Дополнительно: я нашел klogd (журнал ядра deamon), syslogd и комбинацию ps и top, но я не знаю, как настроить это на /proc
либо, либо если это вообще то, что мне нужно.
Любой совет приветствуется!
Я, конечно, открыт для других методов и идей.
Есть несколько вариантов, например, Filebeat + Graylog (см. Запись на https://www.graylog.org/post/back-to-basics-working-with-linux-audit-daemon-log-file), и вы также можете вести журнал аудита Linux с помощью NXLog (см. https://nxlog.co/documentation/nxlog-user-guide/linux-audit.html)