linux audit user run apps
1.0.0
用户启动的图形应用程序的记录(收集统计信息)。
该系统工作如下:
exit_group() execve() )和停止kill()程序的应用程序的应用程序加载到auditd恶魔中。目前,仅支持KDE(Plasmashell),但是开出其他DE的过程是没有问题的,从而增加了其他DE的支持。
仅直接从DE启动的计划的发布和停止。例如,如果DE的用户启动了Chromium浏览器,以及来自Chromium的VLC播放器,则将承诺Chromium发射,而VLC的发布也不是。
查看审核记录是在journalctl中或从审计恶魔的日志中进行的:
ausearch -k laura_process_startausearch -k laura_process_end可以对审计恶魔进行调整,以免编写文件/var/log/audit/audit.log* ,日记,恶魔可以“吃”审计事件。为此,您需要在/etc/audit/auditd.conf write_logs = no文件中指定,然后审核的所有事件仅存储在日记帐中。您可以根据说明将从不同计算机的集中日记日志配置为单个服务器。
要比较启动事件(LAURA_PROCESS_START)和Stop(Laura_process_end),该程序可以根据PID(通过该过程的唯一标识符)来计算,考虑到其操作的时间是临时标签和启动标记之间的差异。
来自来源的安装:
sudo make install
Rosa Linux存储库的安装:
sudo dnf install linux-audit-user-run-apps (或: sudo dnf install laura )
来自Alt Linux存储库的安装:
sudo apt-get install linux-audit-user-run-apps (或: sudo apt-get install laura )
安装后,执行:
sudo systemctl enable --now laura.path
