auditd ਲੀਨਕਸ ਆਡਿਟਿੰਗ ਸਿਸਟਮ ਲਈ ਯੂਜ਼ਰਸਪੇਸ ਕੰਪੋਨੈਂਟ ਹੈ। ਇਹ ਡਿਸਕ 'ਤੇ ਆਡਿਟ ਰਿਕਾਰਡ ਲਿਖਣ ਲਈ ਜ਼ਿੰਮੇਵਾਰ ਹੈ। ਲੌਗਾਂ ਨੂੰ ਦੇਖਣਾ ausearch ਜਾਂ aureport ਉਪਯੋਗਤਾਵਾਂ ਨਾਲ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਆਡਿਟ ਸਿਸਟਮ ਜਾਂ ਲੋਡਿੰਗ ਨਿਯਮਾਂ ਨੂੰ ਕੌਂਫਿਗਰ ਕਰਨਾ auditctl ਉਪਯੋਗਤਾ ਨਾਲ ਕੀਤਾ ਜਾਂਦਾ ਹੈ।
ਲੀਨਕਸ ਵਿੱਚ ਆਡਿਟ ਡੈਮਨ ਕੀ ਹੈ?
ਆਡਿਟ ਡੈਮਨ ਇੱਕ ਸੇਵਾ ਹੈ ਜੋ ਲੀਨਕਸ ਸਿਸਟਮ ਉੱਤੇ ਇਵੈਂਟਾਂ ਨੂੰ ਲੌਗ ਕਰਦੀ ਹੈ। … ਆਡਿਟ ਡੈਮਨ ਫਾਈਲਾਂ, ਨੈੱਟਵਰਕ ਪੋਰਟਾਂ, ਜਾਂ ਹੋਰ ਇਵੈਂਟਾਂ ਤੱਕ ਪਹੁੰਚ ਦੀ ਨਿਗਰਾਨੀ ਕਰ ਸਕਦਾ ਹੈ। ਪ੍ਰਸਿੱਧ ਸੁਰੱਖਿਆ ਟੂਲ SELinux ਉਸੇ ਆਡਿਟ ਫਰੇਮਵਰਕ ਨਾਲ ਕੰਮ ਕਰਦਾ ਹੈ ਜੋ ਆਡਿਟ ਡੈਮਨ ਦੁਆਰਾ ਵਰਤਿਆ ਜਾਂਦਾ ਹੈ।
Auditctl ਕੀ ਹੈ?
ਵਰਣਨ। auditctl ਪ੍ਰੋਗਰਾਮ ਦੀ ਵਰਤੋਂ ਵਿਵਹਾਰ ਨੂੰ ਨਿਯੰਤਰਿਤ ਕਰਨ, ਸਥਿਤੀ ਪ੍ਰਾਪਤ ਕਰਨ, ਅਤੇ 2.6 ਕਰਨਲ ਦੇ ਆਡਿਟ ਸਿਸਟਮ ਵਿੱਚ ਨਿਯਮਾਂ ਨੂੰ ਜੋੜਨ ਜਾਂ ਹਟਾਉਣ ਲਈ ਕੀਤੀ ਜਾਂਦੀ ਹੈ।
ਲੀਨਕਸ ਵਿੱਚ ਆਡਿਟ ਲੌਗ ਕੀ ਹੈ?
ਲੀਨਕਸ ਆਡਿਟ ਫਰੇਮਵਰਕ ਇੱਕ ਕਰਨਲ ਵਿਸ਼ੇਸ਼ਤਾ ਹੈ (ਯੂਜ਼ਰਸਪੇਸ ਟੂਲਸ ਨਾਲ ਜੋੜਾਬੱਧ) ਜੋ ਸਿਸਟਮ ਕਾਲਾਂ ਨੂੰ ਲੌਗ ਕਰ ਸਕਦਾ ਹੈ। ਉਦਾਹਰਨ ਲਈ, ਇੱਕ ਫਾਈਲ ਖੋਲ੍ਹਣਾ, ਇੱਕ ਪ੍ਰਕਿਰਿਆ ਨੂੰ ਖਤਮ ਕਰਨਾ ਜਾਂ ਇੱਕ ਨੈਟਵਰਕ ਕਨੈਕਸ਼ਨ ਬਣਾਉਣਾ। ਇਹਨਾਂ ਆਡਿਟ ਲੌਗਾਂ ਦੀ ਵਰਤੋਂ ਸ਼ੱਕੀ ਗਤੀਵਿਧੀ ਲਈ ਸਿਸਟਮਾਂ ਦੀ ਨਿਗਰਾਨੀ ਕਰਨ ਲਈ ਕੀਤੀ ਜਾ ਸਕਦੀ ਹੈ। ਇਸ ਪੋਸਟ ਵਿੱਚ, ਅਸੀਂ ਆਡਿਟ ਲੌਗ ਬਣਾਉਣ ਲਈ ਨਿਯਮਾਂ ਨੂੰ ਕੌਂਫਿਗਰ ਕਰਾਂਗੇ।
ਕਰਨਲ ਆਡਿਟਿੰਗ ਕੀ ਹੈ?
ਜਾਣ-ਪਛਾਣ। ਲੀਨਕਸ ਕਰਨਲ ਆਡਿਟਿੰਗ ਸਿਸਟਮ ਇੱਕ ਬਹੁਤ ਹੀ ਸ਼ਕਤੀਸ਼ਾਲੀ ਟੂਲ ਹੈ ਜੋ ਸਮਰੱਥ ਹੈ। ਕਈ ਤਰ੍ਹਾਂ ਦੀਆਂ ਸਿਸਟਮ ਗਤੀਵਿਧੀ ਨੂੰ ਲੌਗ ਕਰਨਾ ਜੋ ਮਿਆਰੀ syslog ਉਪਯੋਗਤਾ ਦੁਆਰਾ ਕਵਰ ਨਹੀਂ ਕੀਤਾ ਗਿਆ ਹੈ, ਸਮੇਤ; ਫਾਈਲਾਂ ਤੱਕ ਪਹੁੰਚ ਦੀ ਨਿਗਰਾਨੀ, ਸਿਸਟਮ ਕਾਲਾਂ ਨੂੰ ਲੌਗ ਕਰਨਾ, ਰਿਕਾਰਡਿੰਗ ਕਮਾਂਡਾਂ, ਅਤੇ ਕੁਝ ਨੂੰ ਲੌਗ ਕਰਨਾ। ਸੁਰੱਖਿਆ ਘਟਨਾਵਾਂ ਦੀਆਂ ਕਿਸਮਾਂ (ਜਹੋਦਾ ਐਟ ਅਲ., 2018)।
ਤੁਸੀਂ ਲੀਨਕਸ ਵਿੱਚ ਆਡਿਟ ਨਿਯਮ ਕਿਵੇਂ ਜੋੜਦੇ ਹੋ?
ਆਡਿਟ ਨਿਯਮ ਸੈੱਟ ਕੀਤੇ ਜਾ ਸਕਦੇ ਹਨ:
- auditctl ਉਪਯੋਗਤਾ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਕਮਾਂਡ ਲਾਈਨ 'ਤੇ. ਨੋਟ ਕਰੋ ਕਿ ਇਹ ਨਿਯਮ ਰੀਬੂਟ ਦੌਰਾਨ ਸਥਿਰ ਨਹੀਂ ਹਨ। ਵੇਰਵਿਆਂ ਲਈ, ਸੈਕਸ਼ਨ 6.5 ਦੇਖੋ। 1, “auditctl ਨਾਲ ਆਡਿਟ ਨਿਯਮਾਂ ਨੂੰ ਪਰਿਭਾਸ਼ਿਤ ਕਰਨਾ”
- /etc/audit/audit ਵਿੱਚ। ਨਿਯਮ ਫਾਈਲ. ਵੇਰਵਿਆਂ ਲਈ, ਸੈਕਸ਼ਨ 6.5 ਦੇਖੋ।
ਮੈਂ ਲੀਨਕਸ ਵਿੱਚ ਆਡਿਟ ਲੌਗਸ ਨੂੰ ਕਿਵੇਂ ਪੜ੍ਹਾਂ?
ਲੀਨਕਸ ਆਡਿਟ ਫਾਈਲਾਂ ਇਹ ਦੇਖਣ ਲਈ ਕਿ ਫਾਈਲ ਵਿੱਚ ਕਿਸਨੇ ਬਦਲਾਅ ਕੀਤੇ ਹਨ
- ਆਡਿਟ ਸਹੂਲਤ ਦੀ ਵਰਤੋਂ ਕਰਨ ਲਈ ਤੁਹਾਨੂੰ ਹੇਠ ਲਿਖੀਆਂ ਸਹੂਲਤਾਂ ਦੀ ਵਰਤੋਂ ਕਰਨ ਦੀ ਲੋੜ ਹੈ। …
- => ausearch – ਇੱਕ ਕਮਾਂਡ ਜੋ ਵੱਖ-ਵੱਖ ਖੋਜ ਮਾਪਦੰਡਾਂ ਦੇ ਅਧਾਰ ਤੇ ਇਵੈਂਟਾਂ ਲਈ ਆਡਿਟ ਡੈਮਨ ਲੌਗਸ ਦੀ ਪੁੱਛਗਿੱਛ ਕਰ ਸਕਦੀ ਹੈ।
- => aureport – ਇੱਕ ਸਾਧਨ ਜੋ ਆਡਿਟ ਸਿਸਟਮ ਲੌਗਸ ਦੀਆਂ ਸੰਖੇਪ ਰਿਪੋਰਟਾਂ ਤਿਆਰ ਕਰਦਾ ਹੈ।
19 ਮਾਰਚ 2007
Ausearch ਕੀ ਹੈ?
ausearch ਇੱਕ ਸਧਾਰਨ ਕਮਾਂਡ ਲਾਈਨ ਟੂਲ ਹੈ ਜੋ ਇਵੈਂਟ ਅਤੇ ਵੱਖ-ਵੱਖ ਖੋਜ ਮਾਪਦੰਡ ਜਿਵੇਂ ਕਿ ਇਵੈਂਟ ਆਈਡੈਂਟੀਫਾਇਰ, ਕੁੰਜੀ ਪਛਾਣਕਰਤਾ, CPU ਆਰਕੀਟੈਕਚਰ, ਕਮਾਂਡ ਨਾਮ, ਹੋਸਟ ਨਾਂ, ਗਰੁੱਪ ਨਾਮ ਜਾਂ ਗਰੁੱਪ ID, syscall, ਸੁਨੇਹੇ ਅਤੇ ਇਸ ਤੋਂ ਅੱਗੇ ਆਡਿਟ ਡੈਮਨ ਲੌਗ ਫਾਈਲਾਂ ਨੂੰ ਖੋਜਣ ਲਈ ਵਰਤਿਆ ਜਾਂਦਾ ਹੈ।
ਆਡਿਟ ਨਿਯਮ ਕੀ ਹਨ?
ਨਿਯੰਤਰਣ ਨਿਯਮ — ਆਡਿਟ ਸਿਸਟਮ ਦੇ ਵਿਵਹਾਰ ਅਤੇ ਇਸਦੀ ਕੁਝ ਸੰਰਚਨਾ ਨੂੰ ਸੋਧਣ ਦੀ ਆਗਿਆ ਦਿੰਦੇ ਹਨ। … ਫਾਈਲ ਸਿਸਟਮ ਨਿਯਮ — ਫਾਈਲ ਘੜੀਆਂ ਵਜੋਂ ਵੀ ਜਾਣੇ ਜਾਂਦੇ ਹਨ, ਕਿਸੇ ਖਾਸ ਫਾਈਲ ਜਾਂ ਡਾਇਰੈਕਟਰੀ ਤੱਕ ਪਹੁੰਚ ਦੀ ਆਡਿਟ ਕਰਨ ਦੀ ਆਗਿਆ ਦਿੰਦੇ ਹਨ। ਸਿਸਟਮ ਕਾਲ ਨਿਯਮ — ਸਿਸਟਮ ਕਾਲਾਂ ਨੂੰ ਲੌਗ ਕਰਨ ਦੀ ਇਜਾਜ਼ਤ ਦਿੰਦਾ ਹੈ ਜੋ ਕੋਈ ਵੀ ਨਿਰਧਾਰਤ ਪ੍ਰੋਗਰਾਮ ਕਰਦਾ ਹੈ।
ਮੈਂ ਸਿਸਲੌਗ ਸਰਵਰ ਨੂੰ ਆਡਿਟ ਲੌਗ ਕਿਵੇਂ ਭੇਜਾਂ?
ਰਿਮੋਟ ਸਿਸਲੌਗ ਸਰਵਰ ਨੂੰ ਆਡਿਟ ਲੌਗ ਡੇਟਾ ਭੇਜੋ
- ExtraHop ਉਪਕਰਣ 'ਤੇ ਐਡਮਿਨ UI ਵਿੱਚ ਲੌਗ ਇਨ ਕਰੋ।
- ਸਥਿਤੀ ਅਤੇ ਨਿਦਾਨ ਭਾਗ ਵਿੱਚ, ਆਡਿਟ ਲੌਗ 'ਤੇ ਕਲਿੱਕ ਕਰੋ।
- Syslog ਸੈਟਿੰਗਾਂ 'ਤੇ ਕਲਿੱਕ ਕਰੋ।
- ਟਿਕਾਣਾ ਖੇਤਰ ਵਿੱਚ, ਰਿਮੋਟ ਸਿਸਲੌਗ ਸਰਵਰ ਦਾ IP ਐਡਰੈੱਸ ਟਾਈਪ ਕਰੋ।
- ਪ੍ਰੋਟੋਕੋਲ ਡ੍ਰੌਪ-ਡਾਉਨ ਮੀਨੂ ਤੋਂ, TCP ਜਾਂ UDP ਚੁਣੋ।
ਲੌਗ ਫਾਈਲ ਆਡਿਟਿੰਗ ਕੀ ਹੈ?
ਇੱਕ ਆਡਿਟ ਲੌਗ, ਜਿਸਨੂੰ ਆਡਿਟ ਟ੍ਰੇਲ ਵੀ ਕਿਹਾ ਜਾਂਦਾ ਹੈ, ਜ਼ਰੂਰੀ ਤੌਰ 'ਤੇ ਘਟਨਾਵਾਂ ਅਤੇ ਤਬਦੀਲੀਆਂ ਦਾ ਰਿਕਾਰਡ ਹੁੰਦਾ ਹੈ। ਤੁਹਾਡੇ ਨੈੱਟਵਰਕ ਵਿੱਚ ਆਈਟੀ ਡਿਵਾਈਸਾਂ ਇਵੈਂਟਾਂ ਦੇ ਆਧਾਰ 'ਤੇ ਲੌਗ ਬਣਾਉਂਦੀਆਂ ਹਨ। ਆਡਿਟ ਲੌਗ ਇਹਨਾਂ ਇਵੈਂਟ ਲੌਗਾਂ ਦੇ ਰਿਕਾਰਡ ਹੁੰਦੇ ਹਨ, ਖਾਸ ਤੌਰ 'ਤੇ ਗਤੀਵਿਧੀਆਂ ਦੇ ਕ੍ਰਮ ਜਾਂ ਕਿਸੇ ਖਾਸ ਗਤੀਵਿਧੀ ਦੇ ਸਬੰਧ ਵਿੱਚ।
ਲੀਨਕਸ ਵਿੱਚ ਆਡਿਟ ਲੌਗ ਕਿੱਥੇ ਸਟੋਰ ਕੀਤੇ ਜਾਂਦੇ ਹਨ?
ਮੂਲ ਰੂਪ ਵਿੱਚ ਲੀਨਕਸ ਆਡਿਟ ਫਰੇਮਵਰਕ /var/log/audit ਡਾਇਰੈਕਟਰੀ ਵਿੱਚ ਸਾਰਾ ਡਾਟਾ ਲੌਗ ਕਰਦਾ ਹੈ। ਆਮ ਤੌਰ 'ਤੇ ਇਸ ਫਾਈਲ ਦਾ ਨਾਮ ਆਡਿਟ ਹੁੰਦਾ ਹੈ। ਲੌਗ
ਆਡਿਟ ਲੌਗ ਦਾ ਕੀ ਅਰਥ ਹੈ?
ਪ੍ਰਤੀ ਵਿਕੀਪੀਡੀਆ: "ਇੱਕ ਆਡਿਟ ਟ੍ਰੇਲ (ਜਿਸ ਨੂੰ ਆਡਿਟ ਲੌਗ ਵੀ ਕਿਹਾ ਜਾਂਦਾ ਹੈ) ਇੱਕ ਸੁਰੱਖਿਆ-ਸੰਬੰਧਤ ਕਾਲਕ੍ਰਮਿਕ ਰਿਕਾਰਡ, ਰਿਕਾਰਡਾਂ ਦਾ ਸੈੱਟ, ਅਤੇ/ਜਾਂ ਮੰਜ਼ਿਲ ਅਤੇ ਰਿਕਾਰਡਾਂ ਦਾ ਸਰੋਤ ਹੈ ਜੋ ਉਹਨਾਂ ਗਤੀਵਿਧੀਆਂ ਦੇ ਕ੍ਰਮ ਦਾ ਦਸਤਾਵੇਜ਼ੀ ਸਬੂਤ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ ਜੋ ਕਿਸੇ ਖਾਸ ਸਮੇਂ 'ਤੇ ਪ੍ਰਭਾਵਿਤ ਹੋਏ ਹਨ। ਕਾਰਵਾਈ, ਪ੍ਰਕਿਰਿਆ, ਜਾਂ ਘਟਨਾ." ਇੱਕ ਆਡਿਟ ਲੌਗ ਇਨ ਇਸਦਾ ਸਭ ਤੋਂ ਵੱਧ…
ਮੈਂ ਉਬੰਟੂ ਵਿੱਚ ਆਡਿਟ ਲੌਗਸ ਨੂੰ ਕਿਵੇਂ ਸਮਰੱਥ ਕਰਾਂ?
ਮੂਲ ਰੂਪ ਵਿੱਚ ਆਡਿਟ ਇਵੈਂਟਸ ਫਾਈਲ 'ਤੇ ਜਾਂਦੇ ਹਨ, “/var/log/audit/audit. ਲਾਗ"। ਤੁਸੀਂ “/etc/audisp/plugins ਨੂੰ ਸੋਧ ਕੇ ਆਡਿਟ ਇਵੈਂਟਾਂ ਨੂੰ syslog ਵਿੱਚ ਅੱਗੇ ਭੇਜ ਸਕਦੇ ਹੋ।