linux audit user run apps
1.0.0
تسجيل تطبيقات الرسوم التي أطلقها المستخدم (لجمع الإحصائيات).
يعمل النظام على النحو التالي:
execve() ) وإيقاف (System Calls exit_group() و kill() ) للتطبيقات في شيطان auditd .في الوقت الحالي ، يتم دعم فقط KDE (plasmashell) ، ولكن لن تكون هناك مشكلة لوصف عمليات الآخرين ، وبالتالي إضافة دعم DE.
إطلاق ووقف فقط تلك البرامج التي تم إطلاقها مباشرة من DE. على سبيل المثال ، إذا قام المستخدم من DE بإطلاق متصفح Chromium ، ومشغل VLC من Chromium ، فسيتم تعهد إطلاق Chromium وإطلاق VLC ليس كذلك.
يتم عرض سجلات التدقيق إما في journalctl ، أو من سجلات شيطان Auditd مثل هذا:
ausearch -k laura_process_startausearch -k laura_process_end يمكن ضبط شيطان Auditd حتى لا يكتب الملفات /var/log/audit/audit.log* audit/audit.log* ، المجلة ، يمكن للشيطان "تناول" أحداث التدقيق. للقيام بذلك ، تحتاج إلى تحديد في /etc/audit/auditd.conf audit/auditd.conf: write_logs = no ملف ، ثم سيتم تخزين جميع أحداث التدقيق فقط في Journald. يمكنك تكوين سجلات Journald المركزية من أجهزة كمبيوتر مختلفة إلى خادم واحد وفقًا للتعليمات.
لمقارنة أحداث الإطلاق (laura_process_start) و Stop (laura_process_end) ، يمكن أن يكون البرنامج وفقًا لـ PID - معرف فريد من خلال العملية ، مع الأخذ في الاعتبار وقت تشغيله باعتباره الفرق بين الملصقات المؤقتة وعلامات الإطلاق.
التثبيت من المصدر:
sudo make install
التثبيت من مستودع Rosa Linux:
sudo dnf install linux-audit-user-run-apps (أو: sudo dnf install laura )
التثبيت من مستودع Alt Linux:
sudo apt-get install linux-audit-user-run-apps (أو: sudo apt-get install laura )
بعد التثبيت ، قم:
sudo systemctl enable --now laura.path
