auditd

提供: セキュリティ
2015年12月19日 (土) 21:45時点におけるDaemon (トーク | 投稿記録)による版

移動: 案内検索
スポンサーリンク

auditd とは、監査サービスデーモンです。

読み方

auditd
おーでぃっと でぃー

概要

auditd とは、監査サービスデーモンです。

Linux Audit は、 Linuxカーネルシステムコールなどのイベントを監視する機構です。Linux Audit を使用すると、システムコール が実行された状態をログに記録できます。システムがダウンした場合、攻撃を受けた場合に、原因の究明に役立ちます。

プロセス、カーネルauditd の関係を以下に簡単に示します。

プロセス -システムコール-> カーネル -イベント-> auditd -イベント-> audispd -イベント-> IDS/IPS

auditdは、システムコールをフックして情報を取得します。auditdで取得したイベントは、audispd でほかのアプリケーションやネットワーク上のほかのノードに転送できます。 auditdは、イベントを監査ログ(Audit Log)として蓄積します。監査ログから情報を検索・表示するツールとして ausearch が提供されます。監査ログの統計情報を得るには aureport を利用します。auditdがどのシステムコールをフックするかは、 auditctl で指定します。

インストール

Ubuntu/Debinan 系

sudo apt install auditd

CentOSにインストールする場合

CentOSyum コマンドでインストールする場合。

sudo yum -y  install auditd

使い方

auditd の制御

Linuxservice コマンドで操作する場合。

auditd サービスの開始。

sudo service auditd start

auditd サービスの停止。

sudo service auditd stop

auditd サービスの再起動。

sudo service auditd restart
 

関連項目




スポンサーリンク