Есть ли какое-нибудь решение для того, чтобы сообщения хранились на центральном сервере и на нём же можно было выполнять, например, aureport?

насколько мне известно, есть только коммерческие, и у них свой репортинг а не стандартный

какие оно может принимать значения и что эти значения значат?

в исходниках?

В частности интересует описание поля type (type=USER_CMD, type=SYSCALL), какие оно может принимать значения и что эти значения значат?

ausearch -m

https://access.redhat.com/site/documentation/en-US/Red_Hat_Enterprise_Linux/6...

насколько мне известно, есть только коммерческие, и у них свой репортинг а не стандартный

Какие, например? Я пробовал splunk, но от него толку мало. Не умеет он корректно обрабатывать сообщения auditd.

Спасибо!

не знаю если честно, у нас собирается системным аудитом и observeit, и сислогом пишется на супер-секретный сервер безопасников. знаю только что что-то жутко падучее и проприетарное :)

Есть ли какое-нибудь решение для того, чтобы сообщения хранились на центральном сервере и на нём же можно было выполнять, например, aureport?

Такой же вопрос был один в один. В итоге пришлось писать свой сборщик логов с элементами фильтрации, сортировки событий, потому что с нашими объемами можно положить сетку.

Печально. Пожалуй, остановлюсь на auditd+rsyslog. В принципе, мне это скорее для галочки надо.

Любой сервис для копирования файлов, с поддержкой инкрементальной доставки. И chattr +a на каталог (или аналог в серверной части).

Можно парсер увидеть?

Так нельзя делать: события должны сразу отправляться (тем же демоном причём даже) на удаленный сервер, чтобы скриптом быстро логи не подчистили.

Уже есть реальное решение?

Парсера как такового нет, используется апи аудита для поиска и работы с логами.

Код, увы, не могу выложить.

Что за апи?

Так нельзя делать

Безопасность это компромис между ценой, юзабельностью и паранойей. Нельзя пользоваться только одним из критериев.

Это апи на Си. Нормальной документации нет, только фрагменты. Исходники и примеры можно попробовать посмотреть здесь . В коде апи есть ошибки, последнюю коллега нашёл несколько дней назад.

Супер, спасибо большее за открытие исходных кодов. Но будет ли краткий мануал (у вас же всё-равно же должна быть корпоративная документация?) или заметка по установке и использованию? :)

Программист, который разрабатывает решение с использованием этой библиотеки, увольняется от нас. Недели через две, когда приму его задачи, смогу предметно всё прокомментировать :) Документацию и код сам по себе выложить не могу из-за формы допуска. Лично я начну изучать библиотеку, наверное, с этого примера.

А, я Вас неправильно понял, я думал, что это библиотека уже с решением. Подскажите, а планируется ли выложить исходники решения? Возможно под лицензией, запрещающей коммерческое использование?

Ну так всё просто. В файле /etc/audisp/plugins.d/syslog.conf:

active = yes
direction = out
path = builtin_syslog
type = builtin 
args = LOG_INFO
format = string

Нет, это исходники RHEL. У меня на RHEL 6.4 файлы библиотеки входят в пакет audit-libs-devel-2.2-2.el6.x86_64.

Я так понял, что папка https://fedorahosted.org/audit/browser/trunk/auparse/test?order=name - это готовый проект с Makefile, чтобы показать, как всё компилится.

На наш код, боюсь, рассчитывать вряд ли возможно в ближайшее время. Если я поизучаю библиотеку и что-нибудь начнёт получаться, я напишу.

Я начал потихоньку изучать auparse library, всплыло руководство, вдруг ещё не видели? http://people.redhat.com/sgrubb/audit/audit-parse.txt http://people.redhat.com/sgrubb/audit/audit-rt-events.txt