Podsystem audytu w Linuksie, jest już dosyć "stary", ale mało znany. Najczęściej kojarzy się z SELinuksem i ciężkimi do czytania komunikatami. Tymczasem to tylko jedna z wielu funkcji do jakich można go wykorzystać. Jeśli chcesz wiedzieć co robią twoi użytkownicy w systemie. Jakie pliki czytają, lub chcą przeczytać. to można do tego użyć podsystemu audytu. W najprostszej postaci, możemy monitorować operacje na plikach (odczyt, zapis, zmiana uprawnień) w tym ich status (udane/nieudana). Można dołożyć monitorowanie niektórych funkcji systemowych (dla niektórych procesów), aby wykryć niepożądane zachowania. Czyli mówiąc po polsku, można podłożyć w systemie pliki/katalogi pułapki które przy próbie dostępu wygenerują odpowiednie wpisy w logu (alarmy). Mamy możliwość zbierania informacje o zachowaniu aplikacji, użytkowników. Jeśli to nie wystarczy, to zawsze można użyć podsystemu audytu do monitorowanie sesji terminalowych i zapisywania wszelkich wciśniętych klawiszy, co pozwala na pełny audyt sesji użytkowników uprzywilejowanych. Wyjście z podsystemu audytu możemy także "wpiąć" jako wejście do systemów wykrywanie anomalii/włamań (IDS/IPS) "in real-time". Do podsystemu audytu dodano także narzędzia służące do wyszukiwanie i odpytywania logów o interesujące nas zdarzenia. Mamy tez możliwość przekazania dalej i przetworzenia na bieżąco spływających zdarzeń. Podsystem audytu, to dosyć rozbudowane i zaawansowane oprogramowanie dające nam dostęp do dużej ilości informacji o tym co się dzieje wew. systemu. Szkoda tylko, że tak mało znane.

Loading more stuff…

Hmm…it looks like things are taking a while to load. Try again?

Loading videos…