audit progit keresek

 ( kallo | 2016. február 18., csütörtök - 10:13 )

Sziasztok!

Tapasztalatokra lennék kíváncsi, használtatok már valamilyen ingyenes audit programot?
Egyelőre az elképzelésünk:
- központi helyen nézni több szerver logjait.
- felhasználók belépéseit(ssh és konzol egyaránt).
- felhasználók által kiadott parancsok és azok kimenete.
- a fentiekhez kéne timestamp.

ki használt már ilyet? Kinek mi vált be eddig?
Előre is köszönöm.

szerk1: Már nem csak ingyenes progit keresek.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

auditd + rsyslog
Hogy utana mivel nezitek es keszitetek riportot belole az mar izles kerdese. A sima awk-tol a bigdata toolokig amivel jolesik.

Nem tűnik rossznak az auditd, de reméltem, hogy van hozzá kész megoldás.

--------------------
http://grant-it.com/

Valasszuk szet az adattgyujtest es az adat kiertekeleset.

Adatgyujtes kozponti helyre: auditd meg egyebb logok + rsyslog -> tavoli kozponti tarhely (a szegmentaciora erdemes figyelni, mondjuk per host/per nap eleg jo)
Adatkiertekeles: ami a nyers adatokbol meghatarozott mintak szerint ki tudja valasztani a szukseges/erdekes adatokat. ez barmilyen megoldas lehet mint fent is emlitettem. Itt aztan baszott szeles a paletta. java-ban nagyon profi cuccok irodtak. az adatertekelesre lehet a monitoringot es alertinget rehegeszteni (SEC, stb).
Riport: A levalaogatott adatokbol shiny grafikus eszkozokkel lehet mindenfele chartokat gyartani vagy listakat a megfelelo departmentek es fonokok szamara

Tehat ezek kulon teruletek. Mindegyikkel foglalkozni kell. A kesz sok penzes megoldasok ezt egybe csomagoljak neked, legtobbszor zart forraskodu cuccokkal iszonyat licensz dijakert.

Amugy ok is a nyilt forrasu cuccokat csomagoljak ossze legtobbszor. Szeretnek apache projecteket felhasznalni magukban. :D

+1

Köszönöm, ha nem jön más tipp elkezdem összekalapálni, lehet jobb is lesz így, mert tuti mindig változni fognak az igények, amiben egy kész termék lehet rugalmatlanabb lenne.

szerk1.: A hajónaplónak üzenném, hogy az ossec-hids is jó cucc érdemes alaposabban megnézni.

szerk2.: Lehet itt még játszani a script scriptreplay, sudoreplay cuccokkal, ami már egészen hasonlít arra amit szeretnének tőlem csak egy kis szkriptelés kell.

szerk3.: Egész figyelemre méltó: https://github.com/scoopex/scriptreplay_ng

--------------------
http://grant-it.com/

Ha nem lenne feltétel az ingyenesség, tudnék mondani megoldást, ami fel is dolgozza, jó eséllyel megmutatja, hogy mit kell megnézni utána (nyilván minden bejegyzést nem akarsz), illetve akár bizonyos parancsok kiadásakor le is vághatja a kapcsolatot...

Ha nem titok írd meg, a legutolsó infóm az, hogy nincs kizárva, hogy pénzt is adnak majd érte :)

--------------------
http://grant-it.com/