Обнаружение после проникновения
Журналирование в Linux-системах
Журналы (логи) используются для записи системных сообщений, ошибок, предупреждений и другой важной информации о работе операционной системы. Как правило, в Linux логи операционной системы хранятся в директории /var/log. В этом разделе мы рассмотрим основные типы логов в Linux.
| Название журнала | Расположение |
|---|---|
| Журнал системных сообщений | /var/log/messages /var/log/syslog |
|
Журнал аутентификации |
/var/log/auth.log |
|
Журнал ядра |
/var/log/kern.log |
|
Журнал демонов |
/var/log/daemon.log |
|
Журнал запуска |
/var/log/boot.log |
|
Журнал обновлений |
/var/log/apt/history.log /var/log/dpkg.log |
|
Журнал cron |
/var/log/cron.log |
| Журнал драйверов | /var/log/dmesg |
Демон аудита auditd
auditd — это демон аудита, который используется в операционных системах Linux для отслеживания и регистрации различных событий, происходящих в системе. Этот демон предоставляет механизм аудита, который позволяет администраторам системы записывать информацию о различных действиях, производимых в системе, таких как запуск процессов, доступ к файлам и директориям, изменения конфигурации и многие другие события.
auditd записывает свои аудиторские логи в специальные файлы аудита. Обычно они находятся в директории /var/log/audit/.
Основные файлы, используемые auditd:
- audit.log — файл является основным журналом аудита и содержит основную информацию об аудиторских событиях, произошедших в системе. В этом файле обычно содержится подробная информация о событиях, включая время, тип события, идентификатор процесса, действие, выполненное пользователем, и другие детали.
- audit.log.[N] — это архивные файлы аудита, которые содержат старые записи аудита. Когда основной файл audit.log становится слишком большим, его содержимое перемещается в архивный файл с номером [N]. Например, audit.log.1, audit.log.2 и т. д.
Формат логов аудита, создаваемых auditd, обычно структурирован и содержит различные поля, представляющие информацию о событии аудита. Вот типичный формат записи в логе auditd:
type=SYSCALL msg=audit(1625525281.877:123): arch=c000003e syscall=2 success=yes exit=0 a0=7ffdf44d1eab a1=0 a2=1 a3=0 items=2 ppid=29942 pid=29943 auid=1000 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts0 ses=2 comm="ls" exe="/bin/ls" key="audit-wazuh-r"| Поле | Описание |
|---|---|
| type | Тип события аудита, например, SYSCALL, CWD, EXECVE, SOCKET, и т. д. |
| msg | Общее сообщение аудита |
| audit(timestamp:serial) | Временная метка и серийный номер события аудита |
| arch | Архитектура процессора |
| syscall | Имя системного вызова, связанного с событием |
| success | Успешность выполнения системного вызова |
| exit | Код завершения системного вызова |
| a0-a3 |
Регистры системного вызова |
| items | Количество элементов в событии аудита. |
| ppid | Идентификатор родительского процесса |
| pid | Идентификатор процесса |
| auid | Идентификатор аудита пользователя. |
| uid | Идентификатор пользователя. |
| gid | Идентификатор группы. |
| euid/suid/fsuid | Эффективный, фактический и файловый идентификаторы пользователя. |
| egid/sgid/fsgid | Эффективный, фактический и файловый идентификаторы группы. |
| tty |
Терминал, связанный с процессом |
| ses | Идентификатор сеанса аудита |
| comm | Имя исполняемого файла |
| exe | Путь к исполняемому файлу |
| key | Ключ, связанный с событием аудита |
Это общий формат, и поля могут варьироваться в зависимости от типа события и конфигурации auditd.
Отличия auditd от журналов в Linux
auditd и обычные журналы в Linux, такие как /var/log/syslog, имеют несколько ключевых отличий:
- auditd предназначен для аудита событий безопасности, а именно для мониторинга и анализа активности на системе с целью обнаружения и предотвращения угроз безопасности, когда как обычные журналы, такие как
/var/log/syslog, обычно используются для отслеживания работы системы, включая запуск и остановку служб, сообщения о состоянии аппаратного обеспечения и другие системные события. - auditd обычно настраивается администратором системы для мониторинга конкретных событий безопасности в соответствии с требованиями безопасности системы, в то время как обычные журналы логов создаются и используются системой по умолчанию для регистрации различных событий и действий на системе.