auditd
提供: セキュリティ
スポンサーリンク
auditd とは、監査サービスデーモンです。
読み方
- auditd
- おーでぃっと でぃー
概要
auditd とは、監査サービスデーモンです。
Linux Audit は、 Linuxカーネル のシステムコールなどのイベントを監視する機構です。Linux Audit を使用すると、システムコール が実行された状態をログに記録できます。システムがダウンした場合、攻撃を受けた場合に、原因の究明に役立ちます。
プロセス、カーネルやauditd の関係を以下に簡単に示します。
プロセス -システムコール-> カーネル -イベント-> auditd -イベント-> audispd -イベント-> IDS/IPS
auditdは、システムコールをフックして情報を取得します。auditdで取得したイベントは、audispd でほかのアプリケーションやネットワーク上のほかのノードに転送できます。 auditdは、イベントを監査ログ(Audit Log)として蓄積します。監査ログから情報を検索・表示するツールとして ausearch が提供されます。監査ログの統計情報を得るには aureport を利用します。auditdがどのシステムコールをフックするかは、 auditctl で指定します。
インストール
Ubuntu/Debinan 系
sudo apt install auditd
CentOSにインストールする場合
sudo yum -y install auditd
使い方
auditd の制御
auditd サービスの開始。
sudo service auditd start
auditd サービスの停止。
sudo service auditd stop
auditd サービスの再起動。
sudo service auditd restart
関連項目
ツイート
スポンサーリンク