Linux Log Analizi — Auditd Kurulumu

Bu yazımızda auditd kurulumunu ele alacağız.

Auditd, sistem çağrılarını takip ederek loglanmasını sağlayan bir sistem bileşenidir. Tehdit avcılığında kaydedilen loglar üzerinden analizlerin yapılması sağlanmaktadır.

Auditd’yi Ubuntu’da yüklemek için aşağıdaki komutu kullanabiliriz:

#apt-get install auditd audispd-plugins

Auditd kural seti için /etc/auditd/rules.d/audit.rules dosyasını https://github.com/Neo23x0/auditd/blob/master/audit.rules linkindeki dosya ile dosyanın içeriğini değiştiriyoruz.

Auditd’yi yeniden başlatmak için aşağıdaki komut kullanılabilir:

#systemctl restart auditd

Id komutunu aşağıdaki şekilde çalıştırarak logları inceleyelim. Auditd logları /var/log/audit/audit.log’tan inceleyebilirsiniz.

Id komutunu çalıştırdığımızda audit.rules da aşağıdaki kural tetiklenmektedir: