Auditd キャッシュ アクティビティ フィルタリング?

Auditd キャッシュ アクティビティ フィルタリング?

CentOS6 で監査可能なイベントからブラウザ キャッシュ アクティビティをフィルタリングする戦略を提案できる人はいますか。どうやら、el7 には実行可能ファイルのフィルタリング機能が追加されたようですが、ワークステーション インスタンスはすべてまだ 6 です。そもそもトラフィックを生成するルールを単純に削除することができない要件があります。

<86>1 2018-02-23T10:10:13.805049-08:00 xxxxxxxx2 audisp-graylog  - -  {"audit_category":"write","audit_summary":"Write: /home/joeblow/.cache/mozilla/firefox/udlgt3qa.default/safebrowsing-to_delete/test-phish-simple.pset","audit_hostname":"xxxxx.xxxx.xxxx.xxx","audit_timestamp":"2018-02-23T10:10:13-0800","audit_plugin":"audisp-graylog","audit_version":"1.0.0","audit":{"serial":"198286","rdev":"00:00","ogid":"995220534","ouid":"995220534","mode":"040700","dev":"fd:04","inode":"3678454","path":"/home/xxxxxx/.cache/mozilla/firefox/udlgt3qa.default/safebrowsing-to_delete/test-phish-simple.pset","serial":"198286","rdev":"00:00","ogid":"995220534","ouid":"995220534","mode":"040700","dev":"fd:04","inode":"3678454","path":"/home/xxxxxxx/.cache/mozilla/firefox/udlgt3qa.default/safebrowsing-to_delete/","serial":"198286","cwd":"/home/trwhite1","serial":"198286","session":"1","fsgid":"995220534","sgid":"995220534","egid":"995220534","fsuid":"995220534","suid":"995220534","euid":"995220534","gid":"995220534","pid":"3934","ppid":"1","process":"/usr/lib64/firefox/firefox","tty":"(none)","uid":"995220534","user":"xxxxxxx","originaluid":"995220534","originaluser":"xxxxxxx","parentprocess":"init","auditkey":"delete","processname":"55524C20436C6173736966696572","serial":"198286"}}

答え1

  1. これらのログはコレクターサイドカーで収集できます。http://docs.graylog.org/en/2.4/pages/collector_sidecar.html

  2. 次に、パイプライン ルールを介して解析します (必要に応じてルールを記述できます)。

  3. 最後に、クールなダッシュボードを実現するには、Quick Values ウィジェットをお試しください。

関連情報