标签: audit

我希望生成一个 excel 电子表格，其中包含有关我公司位于 7 个 ESX 3.5 服务器上的约 140 个虚拟机中的每一个的各种信息 - 特别是虚拟机：

• 姓名
• 分配的内存、处理器、硬盘
• 给定时间段内的平均内存、处理器利用率
• 给定时间段内的最大内存、处理器利用率

我知道我可以手动填写电子表格，但我正在寻找一个脚本（可能是 powershell），我可以按计划运行以密切关注事物。

谢谢！

我对 SELinux 有问题。setroubleshoot建议使mypol.pp用semodule -i mypol.pp这样的Apache可以运行。

运行建议的命令后，我不断收到：

type=AVC msg=audit(1388119964.806:11): avc:  denied  { execute } for  pid=2174 comm="httpd" path="/etc/httpd/lib/libaprutil-1.so.0.5.3" dev=md0 ino=2228931 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:object_r:httpd_config_t:s0 tclass=file

**** Invalid AVC allowed in current policy ***

type=AVC msg=audit(1388120085.792:29): avc:  denied  { execute } for  pid=2298 comm="httpd" path="/etc/httpd/lib/libaprutil-1.so.0.5.3" dev=md0 ino=2228931 scontext=unconfined_u:system_r:httpd_t:s0 tcontext=system_u:object_r:httpd_config_t:s0 tclass=file

**** Invalid AVC allowed in current policy ***

type=AVC msg=audit(1388120159.57:37): avc:  denied  { execute } for  pid=2330 comm="httpd" path="/etc/httpd/lib/libaprutil-1.so.0.5.3" dev=md0 ino=2228931 scontext=unconfined_u:system_r:httpd_t:s0 tcontext=system_u:object_r:httpd_config_t:s0 tclass=file

**** Invalid AVC allowed …

您如何检查您站点上的软件是否已获得许可？你有没有什么技巧可以最大限度地减少工作量？

我正在尝试使用以下 Powershell 脚本对ACLsWin.txt位于\%Windows%\System32（例如aaclient.dll）中的多个文件（在 中列出）设置审核控制：

$FileList = Get-Content ".\ACLsWin.txt"
$ACL = New-Object System.Security.AccessControl.FileSecurity

$AccessRule = New-Object System.Security.AccessControl.FileSystemAuditRule("Everyone", "Delete", "Failure")
$ACL.AddAuditRule($AccessRule)
foreach($File in $FileList)
{
    Write-Host "Changing audit on $File"
    $ACL | Set-Acl $File
}

每当我运行脚本时，我都会收到错误PermissionDenied [Set-Acl] UnauthorizedAccessException。

这似乎是因为这些文件的所有者是TrustedInstaller. 我以管理员身份运行这些脚本（即使我使用的是内置管理员帐户），但它仍然失败。我可以使用“安全”选项卡手动设置这些审计控制，但至少有 200 个文件手动设置可能会导致人为错误。

如何TrustedInstaller使用 Powershell绕过并设置这些审计控件？

我想用logstash收集一个日志文件，文件格式是这样的：

type=USER_START msg=audit(1404170401.294:157): user pid=29228 uid=0 auid=0 ses=7972 subj=system_u:system_r:crond_t:s0-s0:c0.c1023 msg='op=PAM:session_open acct="root" exe="/usr/sbin/crond" hostname=? addr=? terminal=cron res=success'

我应该使用哪个过滤器来匹配该行？或者有另一种方法来处理它。

任何帮助，将不胜感激。

使用下面的模式将行与grok debugger匹配，但仍然收到一条No matches消息。

type=%{WORD:audit_type} msg=audit\(%{NUMBER:audit_epoch}:%{NUMBER:audit_counter}\): user pid=%{NUMBER:audit_pid} uid=%{NUMBER:audit_uid} auid=%{NUMBER:audit_audid} subj=%{WORD:audit_subject} msg=%{GREEDYDATA:audit_message}

但是当我删除时subj=%{WORD:audit_subject} msg=%{GREEDYDATA:audit_message}，它成功并得到了一个这样的 JSON 对象。

{
  "audit_type": [
    [
      "USER_END"
    ]
  ],
  "audit_epoch": [
    [
      "1404175981.491"
    ]
  ],
  "BASE10NUM": [
    [
      "1404175981.491",
      "524",
      "1465",
      "0",
      "0"
    ]
  ],
  "audit_counter": [
    [
      "524"
    ]
  ],
  "audit_pid": [
    [
      "1465"
    ]
  ],
  "audit_uid": [
    [
      "0"
    ]
  ], …

在 Microsoft SQL Server 中，我可以使用

GRANT EXECUTE TO <principal>

授予某些用户或角色执行权限。我对检测感兴趣：

我怎样才能同样简单地检查该GRANT EXECUTE命令是否已经应用于给定的用户/角色？（由我或其他管理员）

例子：

如果我使用GRANT EXECUTE TO user01并在几周后返回：是否有一种简单的方法来检查我（或其他人）是否已经使用过GRANT EXECUTE TO user01？

在后台启动进程或将其作为systemd服务很容易。

然而，如果我想启动一个进程来监视Linux机器上的活动，那么它就成为了攻击的目标。如果任何用户想做坏事，它会首先通过简单地执行或 来终止该进程，即使他们只是sudoers 或wheel用户。killsystemctl stop

有没有办法强制执行只能杀死的进程root？

伙计们，只要想到连rsyslog服务都可以被杀死，你就应该承认 Linux 确实是多么脆弱。这就像飞行员可以关闭黑匣子一样。有航空公司允许这种情况发生吗？或者是否有人给飞行员一份允许名单，以阻止他们采取任何措施来拯救飞机？当然，飞行员可以让飞机坠毁，但黑匣子会记录下来。

从安全角度来看，我关于禁止名单的提议是合法的，尽管它可能会让你感到害怕。所以不要试图责怪提出问题的人，好吗？

我安装了一个非常大的 Windows 程序，我想了解在安装程序时实际读取了哪些文件，以及我的特定设置。

有没有办法监控这个并获取读取的文件列表？

我查看了Process Monitor，我可以在我想要监控的目录上放置一个过滤器，但我没有找到一种简单的方法来获取在该目录中打开的文件列表。

我正在尝试找到一种命令行方式来从本地安全策略获取安全设置。具体来说是安全设置 > 本地策略 > 审核策略。策略和当前安全设置的列表。能够查看策略是否可编辑或者是否从其他来源设置将是一个额外的好处，但不是必需的。

本地安全策略窗口中的相关设置：

一名审计员将很快访问我们的办公室，他们将需要对我们的数据进行只读访问。我已经创建了一个域用户帐户并将它们放入一个名为“Auditors”的组中。

我们有一个包含大约十个共享文件夹的文件服务器 (Windows Server 2008)。所有共享都设置为允许经过身份验证的用户完全访问，并且使用 NTFS ACL 实施访问限制。大多数文件夹允许完全访问“域用户”组，但审核员不需要进行任何更改。因为我们有大约一百万个文件，所以更新 NTFS ACL 需要几个小时。以下是我目前正在考虑的选项。

• 在共享级别创建一个“员工”组来分配读/写而不是“域用户”
• 在 NTFS 级别创建一个“staff”组来分配读/写而不是“域用户”
• 拒绝访问共享级别的“审核员”组
• 拒绝在 NTFS 级别访问“审核员”组
• 接受现状并信任审计师。

我将来可能需要配置类似的用户，因为我们的一些承包商需要域帐户，但不应该能够修改我们的客户数据。是否有最佳实践？