Audit イズ 何?のレベルだったのでメモる

/var/log/messages にログ出力を見つける

auditd[1225]: Audit daemon rotating log files

システムコールの監査ログ(audit.log)をローテートしたよの意

Audit ってなんだっけ

Linux Audit システムは、システム上のセキュリティ関連情報を追跡する方法を提供します。事前設定ルールに基づき、Audit はシステム上で発生しているイベントについての情報をできるだけ多く記録するためのログエントリーを生成します。この情報は、セキュリティポリシーの違反者と違反者によるアクションを判断する上でミッションクリティカルな環境で必須のものです。Audit は新たなセキュリティをシステムに追加するわけではありません。システム上で使われているセキュリティポリシーの侵害を発見するために使用されます。これらの侵害は、SELinux などの追加のセキュリティ対策でさらに防ぐことができます。

第7章 システム監査 - Red Hat Customer Portal

ログをみる

audit関連ファイルのデフォルトパス

• config: /etc/audit/auditd.conf
• rule: /etc/audit/audit.rules
• log: /var/log/audit/audit.log

ログファイルの一部

type=USER_AUTH msg=audit(1503126566.333:87164): user pid=8535 uid=0 auid=501 ses=14381 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='op=PAM:authentication acct="root" exe="/bin/su" hostname=? addr=? terminal=pts/4 res=success'

見やすくすると

type=USER_AUTH
msg=audit(1503126566.333:87164):
user
pid=8535
uid=0
auid=501
ses=14381
subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
msg='op=PAM:authentication
          acct="root"
          exe="/bin/su"
          hostname=?
          addr=?
          terminal=pts/4
          res=success'

• 上のログではUID 0(=root)のユーザがrootユーザとしてログオンを試みて成功したことを記録している。

7.6. Audit ログファイルについて - Red Hat Customer Portal B.2. Audit 記録のタイプ - Red Hat Customer Portal