សវនកម្ម គឺជាធាតុផ្សំនៃលំហអ្នកប្រើប្រាស់ទៅកាន់ប្រព័ន្ធសវនកម្មលីនុច។ វាទទួលខុសត្រូវក្នុងការសរសេរកំណត់ត្រាសវនកម្មទៅក្នុងថាស។ ការមើលកំណត់ហេតុត្រូវបានធ្វើឡើងជាមួយនឹងឧបករណ៍ប្រើប្រាស់ ausearch ឬ aureport ។ ការកំណត់រចនាសម្ព័ន្ធប្រព័ន្ធសវនកម្ម ឬច្បាប់នៃការផ្ទុកត្រូវបានធ្វើឡើងជាមួយឧបករណ៍ប្រើប្រាស់ auditctl ។
តើដេមិនសវនកម្មនៅក្នុងលីនុចជាអ្វី?
ដេមិន សវនកម្ម គឺជាសេវាកម្មដែលកត់ត្រាព្រឹត្តិការណ៍នៅលើប្រព័ន្ធលីនុច។ … ដេមិន សវនកម្ម អាចតាមដានរាល់ការចូលប្រើឯកសារ ច្រកបណ្តាញ ឬព្រឹត្តិការណ៍ផ្សេងទៀត។ ឧបករណ៍សុវត្ថិភាពដ៏ពេញនិយម SELinux ធ្វើការជាមួយក្របខ័ណ្ឌសវនកម្មដូចគ្នាដែលប្រើដោយដេមិនសវនកម្ម។
តើ Auditctl គឺជាអ្វី?
ការពិពណ៌នា។ កម្មវិធី auditctl ត្រូវបានប្រើដើម្បីគ្រប់គ្រងឥរិយាបថ ទទួលបានស្ថានភាព និងបន្ថែម ឬលុបច្បាប់ទៅក្នុងប្រព័ន្ធសវនកម្មរបស់ ខឺណែល 2.6។
តើកំណត់ហេតុសវនកម្មនៅក្នុងលីនុចជាអ្វី?
ក្របខ័ណ្ឌសវនកម្មលីនុចគឺជាលក្ខណៈពិសេសខឺណែល (ផ្គូផ្គងជាមួយឧបករណ៍ទំហំអ្នកប្រើប្រាស់) ដែលអាចកត់ត្រាការហៅតាមប្រព័ន្ធ។ ឧទាហរណ៍ ការបើកឯកសារ សម្លាប់ដំណើរការ ឬបង្កើតការតភ្ជាប់បណ្តាញ។ កំណត់ហេតុសវនកម្មទាំងនេះអាចត្រូវបានប្រើដើម្បីត្រួតពិនិត្យប្រព័ន្ធសម្រាប់សកម្មភាពគួរឱ្យសង្ស័យ។ នៅក្នុងការប្រកាសនេះ យើងនឹងកំណត់រចនាសម្ព័ន្ធច្បាប់ដើម្បីបង្កើតកំណត់ហេតុសវនកម្ម។
សវនកម្មខឺណែលជាអ្វី?
សេចក្តីផ្តើម។ ប្រព័ន្ធសវនកម្មខឺណែលលីនុចគឺជាឧបករណ៍ដ៏មានអានុភាពខ្លាំងដែលមានសមត្ថភាព។ ការកត់ត្រាសកម្មភាពប្រព័ន្ធជាច្រើនដែលមិនគ្របដណ្តប់ដោយឧបករណ៍ប្រើប្រាស់ syslog ស្តង់ដារ រួមទាំង។ ការត្រួតពិនិត្យការចូលប្រើឯកសារ ការកត់ត្រាការហៅតាមប្រព័ន្ធ ការកត់ត្រាពាក្យបញ្ជា និងការកត់ត្រាមួយចំនួន។ ប្រភេទនៃព្រឹត្តិការណ៍សុវត្ថិភាព (Jahoda et al., 2018) ។
តើអ្នកបន្ថែមច្បាប់សវនកម្មនៅក្នុងលីនុចដោយរបៀបណា?
ច្បាប់សវនកម្មអាចត្រូវបានកំណត់៖
- នៅលើបន្ទាត់ពាក្យបញ្ជាដោយប្រើឧបករណ៍ប្រើប្រាស់ auditctl ។ ចំណាំថាច្បាប់ទាំងនេះមិនស្ថិតស្ថេរនៅទូទាំងការចាប់ផ្ដើមឡើងវិញទេ។ សម្រាប់ព័ត៌មានលម្អិត សូមមើលផ្នែក 6.5 ។ 1, "កំណត់ច្បាប់សវនកម្មជាមួយ auditctl"
- នៅក្នុង /etc/audit/audit. ឯកសារច្បាប់។ សម្រាប់ព័ត៌មានលម្អិត សូមមើលផ្នែក 6.5 ។
តើខ្ញុំអានកំណត់ហេតុសវនកម្មនៅក្នុងលីនុចដោយរបៀបណា?
ឯកសារសវនកម្មលីនុច ដើម្បីមើលថាអ្នកណាបានធ្វើការផ្លាស់ប្តូរឯកសារ
- ដើម្បីប្រើឧបករណ៍សវនកម្ម អ្នកត្រូវប្រើឧបករណ៍ប្រើប្រាស់ខាងក្រោម។ …
- => ausearch - ពាក្យបញ្ជាដែលអាចសួរកំណត់ហេតុដេមិនសវនកម្មដោយផ្អែកលើព្រឹត្តិការណ៍ដោយផ្អែកលើលក្ខណៈវិនិច្ឆ័យស្វែងរកផ្សេងៗគ្នា។
- => aureport - ឧបករណ៍ដែលផលិតរបាយការណ៍សង្ខេបនៃកំណត់ហេតុប្រព័ន្ធសវនកម្ម។
១ មិនា ឆ្នាំ ២០២១
តើ Ausearch ជាអ្វី?
ausearch គឺជាឧបករណ៍បន្ទាត់ពាក្យបញ្ជាសាមញ្ញដែលប្រើដើម្បីស្វែងរកឯកសារកំណត់ហេតុដេមិនសវនកម្មដោយផ្អែកលើព្រឹត្តិការណ៍ និងលក្ខណៈវិនិច្ឆ័យស្វែងរកផ្សេងៗគ្នាដូចជា ការកំណត់អត្តសញ្ញាណព្រឹត្តិការណ៍ លេខសម្គាល់សោ ស្ថាបត្យកម្មស៊ីភីយូ ឈ្មោះពាក្យបញ្ជា ឈ្មោះម៉ាស៊ីន ឈ្មោះក្រុម ឬលេខសម្គាល់ក្រុម syscall សារ និងលើសពីនេះ។
តើច្បាប់សវនកម្មជាអ្វី?
ច្បាប់គ្រប់គ្រង — អនុញ្ញាតឱ្យឥរិយាបថរបស់ប្រព័ន្ធសវនកម្ម និងការកំណត់រចនាសម្ព័ន្ធមួយចំនួនរបស់វាត្រូវបានកែប្រែ។ … ច្បាប់ប្រព័ន្ធឯកសារ — ត្រូវបានគេស្គាល់ថាជាឯកសារឃ្លាំមើល អនុញ្ញាតឱ្យធ្វើសវនកម្មនៃការចូលទៅកាន់ឯកសារជាក់លាក់មួយ ឬថតឯកសារ។ ច្បាប់ហៅទូរសព្ទរបស់ប្រព័ន្ធ — អនុញ្ញាតឱ្យកត់ត្រាការហៅទូរសព្ទប្រព័ន្ធដែលកម្មវិធីដែលបានបញ្ជាក់ណាមួយធ្វើ។
តើខ្ញុំផ្ញើកំណត់ហេតុសវនកម្មទៅម៉ាស៊ីនមេ syslog យ៉ាងដូចម្តេច?
ផ្ញើទិន្នន័យកំណត់ហេតុសវនកម្មទៅកាន់ម៉ាស៊ីនមេ syslog ពីចម្ងាយ
- ចូលទៅក្នុង Admin UI នៅលើឧបករណ៍ ExtraHop ។
- នៅក្នុងផ្នែក ស្ថានភាព និងការវិនិច្ឆ័យ សូមចុច កំណត់ហេតុសវនកម្ម។
- ចុច Syslog Settings ។
- នៅក្នុងវាល ទិសដៅ វាយអាសយដ្ឋាន IP របស់ម៉ាស៊ីនមេ syslog ពីចម្ងាយ។
- ពីម៉ឺនុយទម្លាក់ចុះពិធីការ សូមជ្រើសរើស TCP ឬ UDP ។
សវនកម្មឯកសារកំណត់ហេតុគឺជាអ្វី?
កំណត់ហេតុសវនកម្ម ដែលហៅថាផ្លូវសវនកម្ម គឺជាកំណត់ហេតុនៃព្រឹត្តិការណ៍ និងការផ្លាស់ប្តូរសំខាន់ៗ។ ឧបករណ៍ IT នៅទូទាំងបណ្តាញរបស់អ្នកបង្កើតកំណត់ហេតុដោយផ្អែកលើព្រឹត្តិការណ៍។ កំណត់ហេតុសវនកម្មគឺជាកំណត់ត្រានៃកំណត់ហេតុព្រឹត្តិការណ៍ទាំងនេះ ជាធម្មតាទាក់ទងនឹងលំដាប់នៃសកម្មភាព ឬសកម្មភាពជាក់លាក់មួយ។
តើកំណត់ហេតុសវនកម្មត្រូវបានរក្សាទុកនៅឯណានៅក្នុងលីនុច?
តាមលំនាំដើម ក្របខ័ណ្ឌសវនកម្មលីនុចកត់ត្រាទិន្នន័យទាំងអស់នៅក្នុងថត /var/log/audit ។ ជាធម្មតាឯកសារនេះត្រូវបានគេហៅថាសវនកម្ម។ កំណត់ហេតុ។
តើកំណត់ហេតុសវនកម្មមានន័យដូចម្តេច?
តាមវិគីភីឌា៖ “ផ្លូវសវនកម្ម (ហៅផងដែរថា កំណត់ហេតុសវនកម្ម) គឺជាកំណត់ត្រាកាលប្បវត្តិដែលទាក់ទងនឹងសុវត្ថិភាព សំណុំនៃកំណត់ត្រា និង/ឬទិសដៅ និងប្រភពនៃកំណត់ត្រាដែលផ្តល់ភស្តុតាងឯកសារនៃលំដាប់នៃសកម្មភាពដែលបានប៉ះពាល់នៅពេលណាមួយជាក់លាក់។ ប្រតិបត្តិការ នីតិវិធី ឬព្រឹត្តិការណ៍។ កំណត់ហេតុសវនកម្មមួយនៅក្នុងភាគច្រើនបំផុតរបស់វា…
តើខ្ញុំបើកដំណើរការកំណត់ហេតុសវនកម្មនៅក្នុងអ៊ូប៊ុនទូដោយរបៀបណា?
តាមលំនាំដើម ព្រឹត្តិការណ៍សវនកម្មទៅកាន់ឯកសារ “/var/log/audit/audit. កំណត់ហេតុ” ។ អ្នកអាចបញ្ជូនព្រឹត្តិការណ៍សវនកម្មទៅកាន់ syslog ដោយកែប្រែ “/etc/audisp/plugins។