Problemas con el formato de los registros generados por Auditd

Question

Problemas con el formato de los registros generados por Auditd

#1 de zedman9991 (1 votos)
#2 de lc4nt (0 votos)
#3 de BurnA (0 votos)

3

Tengo debajo de la instantánea del registro generado por auditd cuando intenté eliminar un usuario. No tiene nombre de host y addr en los registros:

 type=DEL_USER msg=audit(1404811391.243:4407153): user pid=5772 uid=0 auid=513 ses=185589 msg='op=deleting user entries id=532 exe="/usr/sbin/userdel" hostname=? addr=? terminal=pts/1 res=success'

Mi auditor quiere que el nombre de host y el addr se capturen en los registros cuando se realice dicha actividad administrativa. También la fecha / marca de tiempo no está en buen formato. Por favor recomiende.

Estoy pegando mi archivo auditd.conf

auditd.conf

#
# This file controls the configuration of the audit daemon
#

log_file = /var/log/audit/audit.log
log_format = RAW
log_group = root
priority_boost = 4
flush = INCREMENTAL
freq = 20
num_logs = 4
disp_qos = lossy
dispatcher = /sbin/audispd
name_format = none
##name = mydomain
max_log_file = 5
max_log_file_action = ROTATE
space_left = 75
space_left_action = SYSLOG
action_mail_acct = root
admin_space_left = 50
admin_space_left_action = SUSPEND
disk_full_action = SUSPEND
disk_error_action = SUSPEND
##tcp_listen_port =
tcp_listen_queue = 5
tcp_max_per_addr = 1
##tcp_client_ports = 1024-65535
tcp_client_max_idle = 0
enable_krb5 = no
krb5_principal = auditd
##krb5_key_file = /etc/audit/audit.key

audit logging

pregunta deep 08.07.2014 - 12:58

fuente

3 respuestas

Lea otras preguntas en las etiquetas audit logging

¿Qué tan fácil es hacer una tarjeta de identidad / banco maliciosa? Klein y PTW wep attack

score 1 · Answer 1

Aquí hay una solución rápida para la conversión del formato de fecha y hora enlace

En cuanto a su falta de nombre de host, es un factor para utilizar el argumento de nombre como usted (predeterminado en ninguno si no está configurado correctamente) - vea enlace Reemplaza eso con name_format=hostname y ese problema debería desaparecer.

score 0 · Answer 2

Otra solución posible podría ser enviar los registros de auditd al registrador de syslog estándar. Para ello puedes configurar el plugin de syslog audispd. En una máquina debian debería estar bajo /etc/audispd/plugins.d/syslog

root@debian:/etc# cat /etc/audisp/plugins.d/syslog.conf 
# This file controls the configuration of the
# syslog plugin. It simply takes events and writes
# them to syslog.

active = yes
direction = out
path = builtin_syslog
type = builtin 
args = LOG_INFO
format = string

score 0 · Answer 3

Una respuesta posiblemente más completa:

El nombre de host y los valores de addr en estos mensajes de auditoría se establecen cuando los distintos paquetes de shadow-utils (incluido userdel) llaman las rutinas libaudit audit_log_user_message () o audit_log_acct_message ().

Desde la fuente (shadow-4.1.4.2) parece que la utilidad de inicio de sesión de shadow-util es la única que establece el nombre de host (y tty). Todas las demás utilidades (incluido userdel) establecen hostname, addr y tty en NULL.

Para obtener información, las rutinas de libaudit intentarán resolver la dirección del host (addr) si se proporciona un nombre de host sin dirección, y también intentarán resolver el terminal asociado (tty). Podemos ver que la resolución del terminal es exitosa.

Como se ha sugerido, si configura name_format en /etc/audit/auditd.conf en 'nombre de host' o 'fqdn', aparecerá un parámetro de nodo en todos los registros de auditd. Por lo tanto, digamos que su nombre de dominio completo es 'hosta.subdom.maindom', y que configura name_format = 'fqdn' luego, cuando aparezca el mensaje de auditoría anterior, verá

node=hosta.subdom.maindom type=DEL_USER msg=audit(1404811391.243:4407153): user pid=5772 uid=0 auid=513 ses=185589 msg='op=deleting user entries id=532 exe="/usr/sbin/userdel" hostname=? addr=? terminal=pts/1 res=success'

y de aquí tiene la fqdn en la que se registró este registro y puede extrapolar su addr.