CentOS6의 감사 가능한 이벤트에서 브라우저 캐시 활동을 필터링하는 전략을 제안할 수 있는 사람이 있습니까? 분명히 el7에 실행 파일 필터링 기능이 추가되었나요? 하지만 모든 워크스테이션 인스턴스는 여전히 6입니다. 애초에 트래픽을 생성하는 규칙을 그냥 잡아당기는 것을 방지하는 요구 사항이 있습니다.
<86>1 2018-02-23T10:10:13.805049-08:00 xxxxxxxx2 audisp-graylog - - {"audit_category":"write","audit_summary":"Write: /home/joeblow/.cache/mozilla/firefox/udlgt3qa.default/safebrowsing-to_delete/test-phish-simple.pset","audit_hostname":"xxxxx.xxxx.xxxx.xxx","audit_timestamp":"2018-02-23T10:10:13-0800","audit_plugin":"audisp-graylog","audit_version":"1.0.0","audit":{"serial":"198286","rdev":"00:00","ogid":"995220534","ouid":"995220534","mode":"040700","dev":"fd:04","inode":"3678454","path":"/home/xxxxxx/.cache/mozilla/firefox/udlgt3qa.default/safebrowsing-to_delete/test-phish-simple.pset","serial":"198286","rdev":"00:00","ogid":"995220534","ouid":"995220534","mode":"040700","dev":"fd:04","inode":"3678454","path":"/home/xxxxxxx/.cache/mozilla/firefox/udlgt3qa.default/safebrowsing-to_delete/","serial":"198286","cwd":"/home/trwhite1","serial":"198286","session":"1","fsgid":"995220534","sgid":"995220534","egid":"995220534","fsuid":"995220534","suid":"995220534","euid":"995220534","gid":"995220534","pid":"3934","ppid":"1","process":"/usr/lib64/firefox/firefox","tty":"(none)","uid":"995220534","user":"xxxxxxx","originaluid":"995220534","originaluser":"xxxxxxx","parentprocess":"init","auditkey":"delete","processname":"55524C20436C6173736966696572","serial":"198286"}}
답변1
수집기 사이드카를 사용하여 해당 로그를 수집할 수 있습니다.http://docs.graylog.org/en/2.4/pages/collector_sidecar.html
그런 다음 파이프라인 규칙을 통해 구문 분석합니다(필요에 따라 규칙을 작성할 수 있습니다).
모든 과정을 마친 후에는 멋진 대시보드를 위해 Quick Values 위젯을 사용해 보세요.