¿Alguien puede sugerir una estrategia para filtrar la actividad de la caché del navegador a partir de eventos auditables en CentOS6? ¿Aparentemente el7 ha agregado capacidades para filtrar ejecutables? Pero todas nuestras instancias de estaciones de trabajo todavía están en 6. Tengo requisitos que me impiden simplemente eliminar la regla que produce el tráfico en primer lugar.
<86>1 2018-02-23T10:10:13.805049-08:00 xxxxxxxx2 audisp-graylog - - {"audit_category":"write","audit_summary":"Write: /home/joeblow/.cache/mozilla/firefox/udlgt3qa.default/safebrowsing-to_delete/test-phish-simple.pset","audit_hostname":"xxxxx.xxxx.xxxx.xxx","audit_timestamp":"2018-02-23T10:10:13-0800","audit_plugin":"audisp-graylog","audit_version":"1.0.0","audit":{"serial":"198286","rdev":"00:00","ogid":"995220534","ouid":"995220534","mode":"040700","dev":"fd:04","inode":"3678454","path":"/home/xxxxxx/.cache/mozilla/firefox/udlgt3qa.default/safebrowsing-to_delete/test-phish-simple.pset","serial":"198286","rdev":"00:00","ogid":"995220534","ouid":"995220534","mode":"040700","dev":"fd:04","inode":"3678454","path":"/home/xxxxxxx/.cache/mozilla/firefox/udlgt3qa.default/safebrowsing-to_delete/","serial":"198286","cwd":"/home/trwhite1","serial":"198286","session":"1","fsgid":"995220534","sgid":"995220534","egid":"995220534","fsuid":"995220534","suid":"995220534","euid":"995220534","gid":"995220534","pid":"3934","ppid":"1","process":"/usr/lib64/firefox/firefox","tty":"(none)","uid":"995220534","user":"xxxxxxx","originaluid":"995220534","originaluser":"xxxxxxx","parentprocess":"init","auditkey":"delete","processname":"55524C20436C6173736966696572","serial":"198286"}}
Respuesta1
Puedes recolectar esos troncos con el sidecar coleccionista,http://docs.graylog.org/en/2.4/pages/collector_sidecar.html
Luego, analice mediante reglas de canalización (puede escribir reglas según sus necesidades).
Después de todo, pruebe el widget Valores rápidos para obtener un panel genial.