В CentOS 7, как я могу найти и просмотреть все системные журналы, которые сообщают мне, кто пытался войти в систему, кто входил в систему, с какими процессами они контактировали, что они выполняли и т. Д. Я хочу иметь возможность связать каждое действие с идентификатор пользователя или удаленный IP-адрес.
Мой var/log/каталог содержит множество ресурсов, включая /var/log/messagesи /var/log/secure, но большинство файлов имеют тип, Binary (application/octet-stream)и ОС не знает, как их открыть, если я не связываю с ними какую-то неизвестную программу просмотра. Также, var/log/firewalldпохоже, не содержится полезной информации.
Я могу найти все журналы, созданные моим приложением, моей базой данных и NginX / Apache.
@Braiam Я не сказал, что они были двоичными файлами. Я сказал, что большинство из них являются двоичными файлами. Например,
—
CodeMed
/var/log/firewalldтекстовый файл, который, кажется, содержит бесполезную информацию. Я проверяю, нажав на файлы в графическом интерфейсе. Сначала щелкните левой кнопкой мыши, чтобы попытаться открыть, затем щелкните правой кнопкой мыши, чтобы просмотреть свойства, чтобы проверить тип файла.
Система не делает этого по умолчанию. Вы должны включить ведение журнала аудита, чтобы получить это. Я показываю многие из методов в этом A: unix.stackexchange.com/questions/75051/… . Здесь есть хороший обзор аудита: security.blogoverflow.com/2013/01/… . Ищите других, их много.
—
SLM
@slm Я читаю ваши ссылки. Спасибо. Это будет веб-сервер. Мне нужно будет отследить личность каждого человека, который каким-либо образом касается любой записи в базе данных или любого файла в определенных частях файловой системы. Мне также нужно будет использовать эти данные регистрации для настройки оповещений, которые срабатывают каждый раз, когда неавторизованный пользователь получает доступ к каким-либо данным. Я знаю, как вести журнал на уровне приложений и баз данных. Я хочу настроить ведение журналов так, чтобы журналы CentOS можно было связывать с журналами веб-контейнера, журналами приложений и журналами базы данных, возможно, с помощью ip. Как мне сформулировать вопросы об уровне CentOS этого требования?
—
CodeMed
@CodeMed - я бы сказал, что это CentOS 7, как и у вас. Я думаю, что вы можете делать то, что вы хотите, с помощью audd, относительно манипулирования файловой системой и того, какие команды / процессы вызываются пользователями в локальной файловой системе. Это не покажет ничего кроме пользователя nginx, apache и т. Д. делать X, хотя с уровня приложения. Возможно, вам придется смешать 2 вместе. Я бы также назвал его системным Q, а CentOS 7 - конкретный экземпляр.
—
СЛМ
/var/logи все они являются двоичными файлами? Уверен? Как вы проверяете?