Auditdログ

Auditデーモン(Auditd)はファイルを開く、プロセスのKill、ネットワーク接続といったシステム要求を記録するLinuxカーネル機能です。このログを使用して、異常なシステムの挙動を監視します。
Site24x7アプリケーションログを使用して、Auditdログを管理できます。

設定

1. Site24x7にログインします。
2. Site24x7サーバー監視エージェント(Windows | Linux)をダウンロードしサーバーにインストールします。
3. [管理]→[アプリケーションログ]→[ログプロファイル]→[ログプロファイルの追加]に移動します。
4. プロファイル名を入力します。
5. ログ種類を選択ドロップダウンから[Auditdログ]を選択します。

  • 上記により次のサンプルログとログパターンが表示されます。
    Sample Logs:
    [2019-09-04 15:53:15] production.INFO: UPDATE_USER_LOGIN_INFO: User with ID 728 updated to logins=485, last_login=2019-09-04 15:53:15
    [2019-09-04 15:53:52] production.INFO: UPDATE_USER_LOGIN_INFO: User with ID 69 updated to logins=156, last_login=2019-09-04 15:53:52
    [2019-09-04 17:05:02] production.INFO: HOST_EXIST: FAILED Host in1-smtp does not exist, redirect to public home
    これらログは各項目に分けられて、Site24x7にアップロードされます。
  • Auditdログで指定されるデフォルトのログパターンは次のとおりです。
    [$Datetime:date$] $Environment$.$Level$: $Message$
  • ログパターンを自身で修正することもできます。
    修正するには[鉛筆]アイコンをクリックし、ログパターンを編集してください。
    audidtd-edit-log-type2

6. ログソース項目で[ローカルファイル]を選択します。
7. デフォルトで次のパスがファイルソースに使用されます。
Linux:"/var/log/audit/audit.log"

  • ソースパスがデフォルトパスとは異なる場合、ログを検索するファイルのリスト項目のパスを修正します。

8. ログを収集する対象の監視名または監視グループ名を選択します。
auditd-edit-log-profile2

9. [保存]をクリックします。

関連しているログの種類