У нас около тысячи серверов / виртуальных машин, и в настоящее время отслеживать, кто и что делал, непросто. И что еще хуже, клиенты имеют доступ к своим машинам и часто сами не знают, кто что делал с их доступом.
Я ищу :
Я не против разработки собственного набора инструментов для синтаксического анализа большого количества журналов во что-то пригодное для использования, я в основном ищу лучший способ получить саму информацию.
Чтение эта тема похоже, что в 2013 году auditd был лучшим способом сделать это, так ли это до сих пор? Я предполагаю, что он не будет регистрировать встроенные функции оболочки, такие как echo, но, возможно, это не имеет большого значения. Есть ли способ настроить его так, чтобы он сообщал вам, какой процесс что вызвал (чтобы отличить sshd от cron, PHP ..)? Есть ли способ записать переменную env для каждого execve?
Похоже, что есть гораздо более простые инструменты, но они либо тяжелые (изящные?), Либо их легко обойти, что делает их бессмысленными. Например, серверы, на которых размещен wordpress, часто «взламываются», и было бы неплохо иметь журнал того, что именно произошло, когда мы обнаружим это позже.
Спасибо !