Назад | Перейти на главную страницу

Просмотр журналов auditd в journalctl

Я использую CentOS 7. пытаюсь просмотреть auditd входит в систему journalctl

Когда я пытаюсь journalctl -u auditd Я вижу следующий результат:

-- Logs begin at Wed 2018-09-05 08:59:19 EDT, end at Wed 2018-09-19 15:01:01 EDT. --
Sep 05 12:59:25 centos7 systemd[1]: Starting Security Auditing Service...
Sep 05 12:59:25 centos7 auditd[563]: Started dispatcher: /sbin/audispd pid: 565
Sep 05 12:59:25 centos7 audispd[565]: No plugins found, exiting
Sep 05 12:59:25 centos7 auditd[563]: Init complete, auditd 2.8.1 listening for events (startup state enable)
Sep 05 12:59:25 centos7 augenrules[567]: /sbin/augenrules: No change
Sep 05 12:59:25 centos7 augenrules[567]: No rules
Sep 05 12:59:25 centos7 augenrules[567]: enabled 1
Sep 05 12:59:25 centos7 augenrules[567]: failure 1
Sep 05 12:59:25 centos7 augenrules[567]: pid 563
Sep 05 12:59:25 centos7 augenrules[567]: rate_limit 0
Sep 05 12:59:25 centos7 augenrules[567]: backlog_limit 8192
Sep 05 12:59:25 centos7 augenrules[567]: lost 0
Sep 05 12:59:25 centos7 augenrules[567]: backlog 1
Sep 05 12:59:25 centos7 augenrules[567]: enabled 1
Sep 05 12:59:25 centos7 augenrules[567]: failure 1
Sep 05 12:59:25 centos7 augenrules[567]: pid 563
Sep 05 12:59:25 centos7 augenrules[567]: rate_limit 0
Sep 05 12:59:25 centos7 augenrules[567]: backlog_limit 8192
Sep 05 12:59:25 centos7 augenrules[567]: lost 0
Sep 05 12:59:25 centos7 augenrules[567]: backlog 1
Sep 05 12:59:25 centos7 systemd[1]: Started Security Auditing Service.

и на этом все заканчивается.

Если я сбегу tail -3 /var/log/audit/audit.log Я вижу ожидаемый результат:

type = CRED_REFR msg = audit (1537383661.096: 4863): pid = 13894 uid = 0 auid = 0 ses = 567 msg = 'op = PAM: setcred grantors = pam_env, pam_faillock, pam_unix acct = "root" exe = "/ usr / sbin / crond "hostname =? адрес =? терминал = cron res = успех '

type = CRED_DISP msg = audit (1537383661.107: 4864): pid = 13894 uid = 0 auid = 0 ses = 567 msg = 'op = PAM: setcred grantors = pam_env, pam_faillock, pam_unix acct = "root" exe = "/ usr / sbin / crond "hostname =?" адрес =? терминал = cron res = успех '

type = USER_END msg = audit (1537383661.109: 4865): pid = 13894 uid = 0 auid = 0 ses = 567 msg = 'op = PAM: session_close grantors = pam_loginuid, pam_keyinit, pam_limits, pam_systemd acct = "root" exe = "/ usr / sbin / crond "hostname =?" адрес =? терминал = cron res = успех '

Я посмотрел инструкцию от https://major.io/2017/01/05/display-auditd-messages-with-journalctl/

Выполнение этой команды с этой страницы дало мне этот результат, а затем ждал (как и ожидалось).

$ journalctl -af _TRANSPORT=audit
-- Logs begin at Wed 2018-09-05 08:59:19 EDT. --

Как мне настроить journalctl или auditd для просмотра вывода, который я вижу из audit.log файл в journalctl?

Там тоже совпадений не нашёл. Тогда я сделал это journalctl _TRANSPORT=syslog и обнаружил, что у меня есть спички. Это привело меня к некоторому расследованию, и я обнаружил, что если я отфильтровал что-то конкретное, например sshd, потом нашел совпадения, хотя выглядят они совершенно иначе. Вот реальный пример: 

audit.log : type=CRED_REFR msg=audit(1537414472.742:270819): pid=20227 uid=0 auid=0 ses=30399 msg='op=PAM:setcred grantors=pam_env,pam_unix acct="root" exe="/usr/sbin/sshd" hostname=130.19.106.234 addr=130.19.106.234 terminal=ssh res=success'
journalctl _TRANSPORT=syslog | grep sshd | tail

вывод

Sep 19 20:34:32 ndc1ascem2rad1.eng.mobilephone.net sshd[20225]: Accepted publickey for root from 130.19.106.234 port 60853 ssh2: RSA 00:7e:b4:44:05:c0:fa:e3:xxxxxxxxxxxxxxxxxxxxxx
Sep 19 20:34:32 ndc1ascem2rad1.eng.mobilephone.net sshd[20225]: pam_unix(sshd:session): session opened for user root by (uid=0)

Обратите внимание на совпадение IP-адресов. Поэтому попробуйте вместо этого _TRANSPORT = syslog.