「auditd」の版間の差分

提供: セキュリティ
移動: 案内検索
行7: 行7:
 
== 概要 ==
 
== 概要 ==
 
[[auditd]] とは、監査サービスデーモンです。
 
[[auditd]] とは、監査サービスデーモンです。
 +
 +
Linux Audit は、 [[Linuxカーネル]] の[[システムコール]]などのイベントを監視する機構です。Linux Audit を使用すると、[[システムコール]] が実行された状態をログに記録できます。システムがダウンした場合、攻撃を受けた場合に、原因の究明に役立ちます。
 +
 +
プロセス、[[カーネル]]や[[auditd]] の関係を以下に簡単に示します。
 +
プロセス -システムコール-> カーネル -イベント-> auditd -イベント-> audispd -イベント-> IDS/IPS
 +
[[auditd]]は、システムコールをフックして情報を取得します。[[auditd]]で取得したイベントは、audispd でほかのアプリケーションやネットワーク上のほかのノードに転送できます。
 +
[[auditd]]は、イベントを監査ログ(Audit Log)として蓄積します。監査ログから情報を検索・表示するツールとして ausearch が提供されます。監査ログの統計情報を得るには aureport を利用します。[[auditd]]がどの[[システムコール]]をフックするかは、 auditctl で指定します。
 
== インストール ==
 
== インストール ==
 
=== Ubuntu/Debinan 系 ===
 
=== Ubuntu/Debinan 系 ===
行15: 行22:
 
== 使い方 ==
 
== 使い方 ==
 
{{service|auditd}}
 
{{service|auditd}}
 
 
<syntaxhighlight lang="bash">
 
<syntaxhighlight lang="bash">
 
</syntaxhighlight>
 
</syntaxhighlight>

2015年12月19日 (土) 21:45時点における版

auditd とは、監査サービスデーモンです。

読み方

auditd
おーでぃっと でぃー

概要

auditd とは、監査サービスデーモンです。

Linux Audit は、 Linuxカーネルシステムコールなどのイベントを監視する機構です。Linux Audit を使用すると、システムコール が実行された状態をログに記録できます。システムがダウンした場合、攻撃を受けた場合に、原因の究明に役立ちます。

プロセス、カーネルauditd の関係を以下に簡単に示します。

プロセス -システムコール-> カーネル -イベント-> auditd -イベント-> audispd -イベント-> IDS/IPS

auditdは、システムコールをフックして情報を取得します。auditdで取得したイベントは、audispd でほかのアプリケーションやネットワーク上のほかのノードに転送できます。 auditdは、イベントを監査ログ(Audit Log)として蓄積します。監査ログから情報を検索・表示するツールとして ausearch が提供されます。監査ログの統計情報を得るには aureport を利用します。auditdがどのシステムコールをフックするかは、 auditctl で指定します。

インストール

Ubuntu/Debinan 系

sudo apt install auditd

CentOSにインストールする場合

CentOSyum コマンドでインストールする場合。

sudo yum -y  install auditd

使い方

auditd の制御

Linuxservice コマンドで操作する場合。

auditd サービスの開始。

sudo service auditd start

auditd サービスの停止。

sudo service auditd stop

auditd サービスの再起動。

sudo service auditd restart
 

関連項目