开启audispd之unix域流式套接字接收auditd分发程序消息之配置

Unix域流式套接字接收auditd分发程序audispd的二进制审计消息

创建audispd配置文件

1. 打开或创建/etc/audisp/audispd.conf文件。
2. 添加以下行：

name = "audisp"
format = "binary"
active = yes
path = /var/run/audispd.sock

3. 保存并关闭该文件。

使用audispd创建unix域流式套接字

1. 以root用户身份运行以下命令：

audispd -a /var/run/audispd.sock

2. 这将在/var/run/audispd.sock处创建unix域流式套接字，并开始监听auditd分发程序audispd的二进制审计消息。

3. 您可以使用以下命令来验证audispd是否正在运行：

ps -ef | grep audispd

4. 您应该会看到以下输出：

root       12345     12  0 10:30 ?       00:00:00 audispd -a /var/run/audispd.sock

5. 这表明audispd正在运行并且正在监听auditd分发程序audispd的二进制审计消息。

接收auditd分发程序audispd的二进制审计消息

1. 您现在可以使用审计消息接收程序来接收auditd分发程序audispd的二进制审计消息。

2. 有许多不同的审计消息接收程序可供选择，例如auditd、rsyslog和syslog-ng。

3. 您选择的审计消息接收程序将取决于您的具体需求。

4. 一旦您选择了审计消息接收程序，请按照该程序的说明进行配置，以便它能够接收auditd分发程序audispd的二进制审计消息。

示例

以下是一个使用auditd接收auditd分发程序audispd的二进制审计消息的示例：

1. 打开或创建/etc/audit/auditd.conf文件。
2. 添加以下行：

active = yes
path = /var/log/audit/audit.log
format = binary
dispatcher = /var/run/audispd.sock

3. 保存并关闭该文件。
4. 重启auditd服务：

systemctl restart auditd

5. 这将使auditd开始将二进制审计消息发送到/var/run/audispd.sock。

6. 您现在可以使用auditd查看这些消息：

ausearch -f /var/log/audit/audit.log

7. 您应该会看到以下输出：

type=SYSCALL msg=audit(1656113230.223:274): arch=c000003e syscall=257 success=yes exit=0 a0=b777e340 a1=ffffffffc0203000 a2=ffffffff969f49b0 a3=5555557e2e28 items=1 ppid=1448 pid=20956 auid=1000 uid=1000 gid=1000 ses=4 comm="bash" exe="/bin/bash" key="session-id"

8. 这表明auditd正在成功接收auditd分发程序audispd的二进制审计消息。