linux audit user run apps
1.0.0
Protokollierung von vom Benutzer gestarteten grafischen Anwendungen (um Statistiken zu sammeln).
Das System funktioniert wie folgt:
execve() ) und Stopp (Systemaufrufe exit_group() und kill() ) von Anwendungen in den auditd -Dämon erfassen.Im Moment wird nur KDE (Plasmasell) unterstützt, aber es wird kein Problem geben, die Prozesse anderer Dekörper zu verschreiben, wodurch die Unterstützung anderer De -DE unterstützt wird.
Der Start und die Beendigung von nur jenen Programmen, die direkt von DE gestartet wurden. Wenn beispielsweise der Benutzer von DE den Chrom -Browser und den VLC -Player aus Chromium gestartet hat, wird der Chrom -Start zugesagt und der VLC -Start nicht.
Das Anzeigen der Prüfungsunterlagen wird entweder in journalctl oder aus den Protokollen des Auditd -Dämons wie folgt durchgeführt:
ausearch -k laura_process_startausearch -k laura_process_end Der Auditd -Dämon kann so abgestimmt werden, dass die Dateien /var/log/audit/audit.log* , das Journal, der Dämon die Ereignisse der Prüfung "essen" können. Dazu müssen Sie in der /etc/audit/auditd.conf : write_logs = no Datei angeben, dann werden alle Ereignisse des Audits nur in Journald gespeichert. Sie können die zentralisierten Journald -Protokolle von verschiedenen Computern auf einen einzelnen Server gemäß den Anweisungen konfigurieren.
Um die Startveranstaltungen (Laura_Process_start) und Stop (Laura_process_end) zu vergleichen, kann das Programm nach der PID entsprechen - eine eindeutige Kennung durch den Prozess unter Berücksichtigung der Zeit seines Betriebs als Differenz zwischen temporären Bezeichnungen und Startmarken.
Installation aus der Quelle:
sudo make install
Installation aus dem Rosa Linux -Repository:
sudo dnf install linux-audit-user-run-apps (OR: sudo dnf install laura )
Installation aus dem Alt Linux -Repository:
sudo apt-get install linux-audit-user-run-apps (OR: sudo apt-get install laura )
Nach der Installation führen Sie aus:
sudo systemctl enable --now laura.path
