linux - security - auditd 对用户行为进行监控 splunk siem

refer to:  https://kb.armor.com/kb/installing-and-configuring-auditd

安装

apt install auditd 

配置

sudo vi /etc/audit/rules.d/auditd.rules

把这里的内容粘贴到上述文件中 https://github.com/armor/auditd-config/blob/master/config/quantum_auditd.rules

使用

sudo auditctl -v   #  auditctl version 4.0.2

sudo auditctl -s  查看各项指标。

enabled 1
failure 1
pid 1832488
rate_limit 1000
backlog_limit 8192
lost 0
backlog 0
backlog_wait_time 60000
backlog_wait_time_actual 0
loginuid_immutable 0 unlocked

如果发现上面的 lost 0 是存在 大于0的数值的话，就说明cache不够了

vi /etc/audit/rules.d/quantum_auditd.rules

-b 8192 改为 -b 518192 ( 8mb -> 512mb) 

$ sudo service auditd restart  重启

$ sudo auditctl -s --reset-lost  重新设置 auditc 的lost

使用 

cd /var/log/audit 

查看audit.log