linux audit user run apps
1.0.0
用戶啟動的圖形應用程序的記錄(收集統計信息)。
該系統工作如下:
exit_group() execve() )和停止kill()程序的應用程序的應用程序加載到auditd惡魔中。目前,僅支持KDE(Plasmashell),但是開出其他DE的過程是沒有問題的,從而增加了其他DE的支持。
僅直接從DE啟動的計劃的發布和停止。例如,如果DE的用戶啟動了Chromium瀏覽器,以及來自Chromium的VLC播放器,則將承諾Chromium發射,而VLC的發布也不是。
查看審核記錄是在journalctl中或從審計惡魔的日誌中進行的:
ausearch -k laura_process_startausearch -k laura_process_end可以對審計惡魔進行調整,以免編寫文件/var/log/audit/audit.log* ,日記,惡魔可以“吃”審計事件。為此,您需要在/etc/audit/auditd.conf write_logs = no文件中指定,然後審核的所有事件僅存儲在日記帳中。您可以根據說明將從不同計算機的集中日記日誌配置為單個服務器。
要比較啟動事件(LAURA_PROCESS_START)和Stop(Laura_process_end),該程序可以根據PID(通過該過程的唯一標識符)來計算,考慮到其操作的時間是臨時標籤和啟動標記之間的差異。
來自來源的安裝:
sudo make install
Rosa Linux存儲庫的安裝:
sudo dnf install linux-audit-user-run-apps (或: sudo dnf install laura )
來自Alt Linux存儲庫的安裝:
sudo apt-get install linux-audit-user-run-apps (或: sudo apt-get install laura )
安裝後,執行:
sudo systemctl enable --now laura.path
