「auditd」の版間の差分
提供: セキュリティ
| 行7: | 行7: | ||
== 概要 == | == 概要 == | ||
[[auditd]] とは、監査サービスデーモンです。 | [[auditd]] とは、監査サービスデーモンです。 | ||
| + | |||
| + | Linux Audit は、 [[Linuxカーネル]] の[[システムコール]]などのイベントを監視する機構です。Linux Audit を使用すると、[[システムコール]] が実行された状態をログに記録できます。システムがダウンした場合、攻撃を受けた場合に、原因の究明に役立ちます。 | ||
| + | |||
| + | プロセス、[[カーネル]]や[[auditd]] の関係を以下に簡単に示します。 | ||
| + | プロセス -システムコール-> カーネル -イベント-> auditd -イベント-> audispd -イベント-> IDS/IPS | ||
| + | [[auditd]]は、システムコールをフックして情報を取得します。[[auditd]]で取得したイベントは、audispd でほかのアプリケーションやネットワーク上のほかのノードに転送できます。 | ||
| + | [[auditd]]は、イベントを監査ログ(Audit Log)として蓄積します。監査ログから情報を検索・表示するツールとして ausearch が提供されます。監査ログの統計情報を得るには aureport を利用します。[[auditd]]がどの[[システムコール]]をフックするかは、 auditctl で指定します。 | ||
== インストール == | == インストール == | ||
=== Ubuntu/Debinan 系 === | === Ubuntu/Debinan 系 === | ||
| 行15: | 行22: | ||
== 使い方 == | == 使い方 == | ||
{{service|auditd}} | {{service|auditd}} | ||
| − | |||
<syntaxhighlight lang="bash"> | <syntaxhighlight lang="bash"> | ||
</syntaxhighlight> | </syntaxhighlight> | ||
2015年12月19日 (土) 21:45時点における版
auditd とは、監査サービスデーモンです。
読み方
- auditd
- おーでぃっと でぃー
概要
auditd とは、監査サービスデーモンです。
Linux Audit は、 Linuxカーネル のシステムコールなどのイベントを監視する機構です。Linux Audit を使用すると、システムコール が実行された状態をログに記録できます。システムがダウンした場合、攻撃を受けた場合に、原因の究明に役立ちます。
プロセス、カーネルやauditd の関係を以下に簡単に示します。
プロセス -システムコール-> カーネル -イベント-> auditd -イベント-> audispd -イベント-> IDS/IPS
auditdは、システムコールをフックして情報を取得します。auditdで取得したイベントは、audispd でほかのアプリケーションやネットワーク上のほかのノードに転送できます。 auditdは、イベントを監査ログ(Audit Log)として蓄積します。監査ログから情報を検索・表示するツールとして ausearch が提供されます。監査ログの統計情報を得るには aureport を利用します。auditdがどのシステムコールをフックするかは、 auditctl で指定します。
インストール
Ubuntu/Debinan 系
sudo apt install auditd
CentOSにインストールする場合
sudo yum -y install auditd
使い方
auditd の制御
auditd サービスの開始。
sudo service auditd start
auditd サービスの停止。
sudo service auditd stop
auditd サービスの再起動。
sudo service auditd restart