[컴][linux] audit log

linux 에서 권한 부여 관련 log history / 행동 히스토리 / command history



Linux Auditing System

configuration

audit log path

  • /var/log/audit/audit.log
audit.log 는 아래와 같은 모양이다.
type=CRED_DISP msg=audit(1529285401.444:1738036): pid=11359 uid=0 auid=0 ses=238643 msg='op=PAM:setcred grantors=pam_env,pam_unix acct="root" exe="/usr/sbin/crond" hostname=? addr=? terminal=cron res=success'
type=USER_END msg=audit(1529285401.445:1738037): pid=11359 uid=0 auid=0 ses=238643 msg='op=PAM:session_close grantors=pam_loginuid,pam_keyinit,pam_limits,pam_systemd acct="root" exe="/usr/sbin/crond" hostname=? addr=? terminal=cron res=success'
type=CRED_DISP msg=audit(1529285401.453:1738038): pid=11360 uid=0 auid=0 ses=238644 msg='op=PAM:setcred grantors=pam_env,pam_unix acct="root" exe="/usr/sbin/crond" hostname=? addr=? terminal=cron res=success'
...

audit log 설명

----
type=USER_ACCT msg=audit(06/18/2018 10:12:35.793:1737897) : pid=6991 uid=cocktail auid=cocktail ses=234347 msg='op=PAM:accounting grantors=pam_unix,pam_localuser acct=root exe=/usr/bin/su hostname=cocktailfunding.com addr=? terminal=pts/0 res=success'
----
type=CRED_ACQ msg=audit(06/18/2018 10:12:35.793:1737898) : pid=6991 uid=cocktail auid=cocktail ses=234347 msg='op=PAM:setcred grantors=pam_unix acct=root exe=/usr/bin/su hostname=cocktailfunding.com addr=? terminal=pts/0 res=success'

audit log 에서 특정 내용만 검색


$>ausearch -ua 1000 -i -ts 06/17/2018

  • -ua 1000 
    • user ID, effective user ID, login user ID (auid) 가 1000 인 log 만 검색
    • user ID 는 process 를 실행한 account 를 이야기 한다. auid 는 login ID 이다. 누군가 'a' 라는 id 로 login 해서 sudo 로 실행을 하면 auid 는 'a' 가 되고, uid 는 root 가 될 것이다.
  • -i :  uid 숫자를 text account 로 interpret 해준다.
  • -ts : 시작시간 설정, 2018년 6월 17일
  • -te : 시작시간


See Also





댓글 없음:

댓글 쓰기