linux audit user run apps

사용자가 시작한 그래픽 응용 프로그램의 로깅 (통계 수집).

시스템은 다음과 같이 작동합니다.

• DE (그래픽 데스크탑 환경)가 출시되었습니다.
• 출시 (System Call execve() ) 및 STOP (시스템 호출 exit_group() 및 kill() )을 포착하는 규칙은 auditd 악마에로드됩니다.

현재 KDE (Plasmashell) 만 지원되지만 다른 사람들의 프로세스를 처방하는 데 아무런 문제가 없으므로 다른 DE의 지원을 추가합니다.

DE에서 직접 출시 된 프로그램의 출시 및 중지. 예를 들어, DE의 사용자가 Chromium 브라우저를 시작하고 Chromium의 VLC 플레이어를 출시 한 경우 Chromium 런칭이 약속되고 VLC 출시는 그렇지 않습니다.

감사 기록을 보는 것은 journalctl 또는 다음과 같은 감사 악마의 로그에서 수행됩니다.

• ausearch -k laura_process_start
• ausearch -k laura_process_end

Auditd 악마는 /var/log/audit/audit.log* 파일을 작성하지 않도록 조정할 수 있습니다. 이렇게하려면 /etc/audit/auditd.conf : write_logs = no 파일에 지정해야합니다. 그러면 감사의 모든 이벤트는 Journald에만 저장됩니다. 지침에 따라 다른 컴퓨터에서 단일 서버로 중앙 집중식 저널드 로그를 구성 할 수 있습니다.

시작 이벤트 (laura_process_start)를 비교하고 정지 (laura_process_end)를 비교하려면이 프로그램은 임시 레이블과 런치 마크의 차이로 작동 시간을 고려하여 프로세스의 고유 식별자 인 PID에 따라 될 수 있습니다.

소스에서 설치 :

sudo make install

Rosa Linux 저장소에서 설치 :

sudo dnf install linux-audit-user-run-apps (또는 sudo dnf install laura )

Alt Linux 저장소에서 설치 :

sudo apt-get install linux-audit-user-run-apps (또는 sudo apt-get install laura )

설치 후 수행 :

sudo systemctl enable --now laura.path