Skip to main content

Обнаружение после проникновения

Журналирование

 в Linux-системах

Журналы (логи) используются для записи системных сообщений, ошибок, предупреждений и другой важной информации о работе операционной системы. Как правило, в Linux логи операционной системы хранятся в директории /var/log. В этом разделе мы рассмотрим основные типы логов в Linux.

Название журналаРасположение
Журнал системных сообщений/var/log/messages
/var/log/syslog

Журнал аутентификации

/var/log/auth.log

Журнал ядра

/var/log/kern.log

Журнал демонов

/var/log/daemon.log

Журнал запуска

/var/log/boot.log

Журнал обновлений

/var/log/apt/history.log
/var/log/dpkg.log

Журнал cron

/var/log/cron.log
Журнал драйверов/var/log/dmesg

Демон аудита auditd

auditd — это демон аудита, который используется в операционных системах Linux для отслеживания и регистрации различных событий, происходящих в системе. Этот демон предоставляет механизм аудита, который позволяет администраторам системы записывать информацию о различных действиях, производимых в системе, таких как запуск процессов, доступ к файлам и директориям, изменения конфигурации и многие другие события.

auditd записывает свои аудиторские логи в специальные файлы аудита. Обычно они находятся в директории /var/log/audit/.

Основные файлы, используемые auditd:

  • audit.log — файл является основным журналом аудита и содержит основную информацию об аудиторских событиях, произошедших в системе. В этом файле обычно содержится подробная информация о событиях, включая время, тип события, идентификатор процесса, действие, выполненное пользователем, и другие детали.
  • audit.log.[N] — это архивные файлы аудита, которые содержат старые записи аудита. Когда основной файл audit.log становится слишком большим, его содержимое перемещается в архивный файл с номером [N]. Например, audit.log.1, audit.log.2 и т. д.

Формат логов аудита, создаваемых auditd, обычно структурирован и содержит различные поля, представляющие информацию о событии аудита. Вот типичный формат записи в логе auditd:

type=SYSCALL msg=audit(1625525281.877:123): arch=c000003e syscall=2 success=yes exit=0 a0=7ffdf44d1eab a1=0 a2=1 a3=0 items=2 ppid=29942 pid=29943 auid=1000 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts0 ses=2 comm="ls" exe="/bin/ls" key="audit-wazuh-r"
ПолеОписание
typeТип события аудита, например, SYSCALL, CWD, EXECVE, SOCKET, и т. д.
msgОбщее сообщение аудита
audit(timestamp:serial)Временная метка и серийный номер события аудита
archАрхитектура процессора
syscallИмя системного вызова, связанного с событием
successУспешность выполнения системного вызова
exitКод завершения системного вызова
a0-a3
 		Регистры системного вызова
itemsКоличество элементов в событии аудита.
ppidИдентификатор родительского процесса
pidИдентификатор процесса
auidИдентификатор аудита пользователя.
uidИдентификатор пользователя.
gidИдентификатор группы.
euid/suid/fsuidЭффективный, фактический и файловый идентификаторы пользователя.
egid/sgid/fsgidЭффективный, фактический и файловый идентификаторы группы.
tty
 		Терминал, связанный с процессом
sesИдентификатор сеанса аудита
commИмя исполняемого файла
exeПуть к исполняемому файлу
keyКлюч, связанный с событием аудита

Это общий формат, и поля могут варьироваться в зависимости от типа события и конфигурации auditd.

Отличия auditd от журналов в Linux

auditd и обычные журналы в Linux, такие как /var/log/syslog, имеют несколько ключевых отличий:

  1. auditd предназначен для аудита событий безопасности, а именно для мониторинга и анализа активности на системе с целью обнаружения и предотвращения угроз безопасности, когда как обычные журналы, такие как /var/log/syslog, обычно используются для отслеживания работы системы, включая запуск и остановку служб, сообщения о состоянии аппаратного обеспечения и другие системные события.
  2. auditd обычно настраивается администратором системы для мониторинга конкретных событий безопасности в соответствии с требованиями безопасности системы, в то время как обычные журналы логов создаются и используются системой по умолчанию для регистрации различных событий и действий на системе.
Back to top