Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
informatique:linux:auditctl [2015/04/14 14:57] benoit |
informatique:linux:auditctl [2018/09/06 19:10] (Version actuelle) |
||
---|---|---|---|
Ligne 3: | Ligne 3: | ||
Permet de logger tous les processus lancé sous Linux. | Permet de logger tous les processus lancé sous Linux. | ||
+ | ==== Installation ==== | ||
Pour installer : | Pour installer : | ||
apt-get install auditd | apt-get install auditd | ||
+ | |||
+ | ==== Lancement en live ==== | ||
Pour lancer un audit : | Pour lancer un audit : | ||
auditctl -a task,always | auditctl -a task,always | ||
Ligne 16: | Ligne 19: | ||
auditctl -a always,exit -F arch=b64 -S open -S openat -F uid=33 | auditctl -a always,exit -F arch=b64 -S open -S openat -F uid=33 | ||
auditctl -a always,exit -F arch=b32 -S open -S openat -F uid=33 | auditctl -a always,exit -F arch=b32 -S open -S openat -F uid=33 | ||
+ | |||
+ | ==== Configuration au lancement du système ==== | ||
Il est possible d'indiquer les paramètres dans le fichier ''/etc/audit/audit.rules'', Exemple : | Il est possible d'indiquer les paramètres dans le fichier ''/etc/audit/audit.rules'', Exemple : | ||
Ligne 40: | Ligne 45: | ||
/etc/init.d/auditd restart | /etc/init.d/auditd restart | ||
+ | ==== Rapport et logs ==== | ||
Les logs générés se trouvent dans : ''/var/log/audit'' | Les logs générés se trouvent dans : ''/var/log/audit'' |