AUDITD kullanımı

[farukdemirel]

Merhabalar,

Grupta ve Linux camiasında oldukça yeniyim. Sürç-ü Lisan edersem affola.
UBUNTU Server 13.04 içeren bir vmWare imajı edinerek linux dünyasına adım attım.

Auditd, Audisp, Syslog üçlemesi ile toplanan Audit loglarını başka bir sunucuda biriktirmeye çalışıyorum.
Öncelikle, dosya sunucusu olarak çalışan linux makinesindeki dosyalara erişim bilgilerini almayı hedefliyorum.

Auditd çalışıyor, erişim kayıtları günlüğe kaydediliyor, audisp+syslog ile dışarıya gönderiliyor ve başka makinede çalışan syslog dinleyicim bu kayıtları alabiliyor.

Bu noktada bir sorum var.

Günlüğe düşen erişim kayıtları, linux makine üzerinde sorgulandığında (AuReport) UID numaraları, -i parametresi  ile kullanıcı adı olarak alınabiliyor.
Ancak bu kayıtlar syslog aracılığı ile doğrudan dışarı yollandığında UID ile "kullanıcı adı" bağlantısı doğal olarak kayboluyor.

Bu durumda, dosya erişimine dair yakalanan kayıt, günlüğe yazılmadan önce UID->KullanıcıAdı dönüşümü yapılarak günlüğe yazılmalı ve bu UID+KullanıcıAdı birlikte dışarı gönderilmeli diye düşünüyorum.

Benzer bir durum PID+ProsesAdı bilgisi için de geçerli.

Bunun yapılıp yapılamayacağını, yapılabiliyorsa nasıl olacağını öğrenmeye çalışıyorum.

Yardıma ihtiyacım var.

Saygılarımla.

Faruk Demirel.

[heartsmagic]

Konu hakkında fazlaca tecrübem yok, belki olan birileri doğrudan fikir verebilir. Ancak yanlış bakmadıysam Auditd için kullanıcı adını kayıtlamak pek mümkün değil gibi.
Şu soruyu soran da sen olabilir misin
http://ubuntuforums.org/showthread.php?t=2159276

Gerçi çok emin değilim belki yazabiliyordur, konuya hakim olmayınca sadece kabaca bakabiliyor insan. Eğer doğrudan bir yolu yoksa bu işi bir betiğe bindirip uid->kullanıcı_adı bilgilerini belki ayrıca gönderebilirsin. Fakat her kayıt için ince ince işlemek lazım bu işi muhtemelen, yoksa ortalık karışabilir.

[farukdemirel]

Yanıtınız için teşekkür ederim.
Verdiğiniz bağlantıdaki soruyu ben sormadım ancak arayışta yalnız değilim demek ki.

Hissiyatım bunun sadece benlik bir ihtiyaç olmadığı, merkezi log mekanizması hedefleyenlerin herkes için gerekeceğini ve
pratik bir çözümübuluınabileceği yönünde ancak korkarım yanılıyorum.

AuReport ile uygun parametre kullanıldığında ilgili makine üzerinde kullanıcı adları alınabiliyor. Ancak bu işlemin loglama esnasında (on the fly) yapılarak yazılan kayda eklenmesi lazım ki dışarıya bilgi gidebilsin.

Umutla bekliyorum belki bir çözüm önerisi gelir.

Saygılar.

[if]

Bir çözüm buldunuz mu @farukdemirel?

[cagriemer]

Ubuntu varsayilan olarak rsyslog kullaniyor. Aklima bir cozum yontemi geldi fakat daha once rsyslog'un omprog modulunu kullanmadigimdan calisir mi emin olamadim. audispd eklentisini /etc/audisp/plugins.d/syslog.conf dosyasindaki active satirini degistirerek rsyslog'a yonlendirdiginize gore, /etc/rsyslog.d/ altina audispd.conf dosyasi yazilip audispd'den gelen tum mesajlari omprog modulu[1] ile gelen mesajin icerigindeki uid degerine /etc/passwd dosyasindan bakip degistirecek bir betige aktarmak mumkun olabilir. Ciktiyi ayni dosyaya yazamasa bile farkli dosyayi log dosyasi olarak uzak sunucunuza gonderebilirsiniz diye dusunuyorum. rsyslog belgelendirmesine iyi bakmak lazim.

[1] http://www.rsyslog.com/doc/omprog.html