일반 감사 로그 생성
다음은 일반 감사 로그를 생성하는 예제입니다.
이 예제에서는 시스템 관리자가 감사 서브시스템을 사용하여 대규모 다중 사용자 서버 시스템을 모니터하려고 한다고 가정합니다. IDS로의 직접 통합은 수행되지 않으며 모든 감사 레코드에 불규칙한 부분이 없는지 수동으로 검사합니다. 생성된 데이터의 양을 관리 가능한 크기로 유지하기 위해 몇 개의 필수 감사 이벤트만 기록됩니다.
이벤트 발견의 대상으로 고려되는 감사 이벤트는 다음과 같습니다.
- FILE_Write
- 구성 파일에 대한 파일 쓰기에 대해 알고 싶으므로 이 이벤트는 /etc 트리의 모든 파일에서 사용됩니다.
- PROC_SetUserIDs
- 사용자 ID의 모든 변경사항
- AUD_Bin_Def
- 감사 바이너리 구성
- USER_SU
- ' su ' 명령
- PASSWORD_Change
- passwd 명령
- AUD_Lost_Rec
- 유실된 레코드가 있는 경우 알림
- CRON_JobAdd
- 새로운 cron 작업
- AT_JobAdd
- 새로운 at 작업
- USER_Login
- 모든 로그인
- PORT_Locked
- 유효하지 않은 시도가 과도하게 발생하여 모든 터미널 잠금
다음은 일반 감사 로그를 생성하는 방법의 예제입니다.
이 예제에서는 몇 개의 이벤트만 사용합니다. 모든 이벤트를 보려면 모든 사용자에 대해 클래스 이름
ALL을 지정하면 됩니다. 이 조치는 많은 양의 데이터를 생성합니다. 사용자 변경사항 및 특권 변경사항과 관련된 모든 이벤트를 custom 클래스에 추가할 수 있습니다.