[SIEM] 오딧(Audit) 로그는 왜 필요한가요?
Audit 로그를 사용하는 이유는 syslog 에서 발견할 수 없는 로그들을 룰을 만들어서 확인할 수 있습니다.
예를 들어 파일을 옮기는 로그를 syslog 에서는 확인할 수 없지만, Audit 로그에서 룰을 설정하면 파일이 이동한 것을 확인할 수 있습니다.
아래의 로그 예시를 보면, cp 명령어를 사용해서 vivitest 라는 파일을 vivitest2 라는 파일로 copy 하였음을 알 수 있습니다.
현재 디렉토리 위치는 /home 입니다.
type=SYSCALL msg=audit(1502429913.077:1916): arch=c000003e syscall=59 success=yes exit=0 a0=1b50c60 a1=1b50bf0 a2=1b50730 a3=7fff38c19150 items=2 ppid=16299 pid=16643 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0tty=pts0
ses=178 comm=“cp” exe=”/usr/bin/cp” subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key=”usr_bin”
type=EXECVE msg=audit(1502429913.077:1916): argc=4 a0=“cp” a1=”-i” a2=”vivitest” a3=”vivitest2″
type=CWD msg=audit(1502429913.077:1916): cwd=“/home”
type=PATH msg=audit(1502429913.077:1916): item=0 name=”/usr/bin/cp” inode=25388612 dev=fd:00 mode=0100755 ouid=0 ogid=0
rdev=00:00 obj=system_u:object_r:bin_t:s0 objtype=NORMAL
type=PATH msg=audit(1502429913.077:1916): item=1 name=”/lib64/ld-linux-x86-64.so.2″ inode=7356 dev=fd:00 mode=0100755 ouid=0
ogid=0 rdev=00:00 obj=system_u:object_r:ld_so_t:s0 objtype=NORMAL
type=SYSCALL msg=audit(1502429913.078:1917): arch=c000003e syscall=2 success=yes exit=4 a0=7ffd647c6811 a1=c1 a2=1a4
a3=7ffd647c57e0 items=2 ppid=16299 pid=16643 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts0 ses=178 comm=”cp” exe=”/usr/bin/cp” subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key=”home_change”
type=CWD msg=audit(1502429913.078:1917): cwd=”/home”
type=PATH msg=audit(1502429913.078:1917): item=0 name=”/home” inode=25165916 dev=fd:00 mode=040755 ouid=0 ogid=0 rdev=00:00 obj=system_u:object_r:home_root_t:s0 objtype=PARENT
type=PATH msg=audit(1502429913.078:1917): item=1 name=”vivitest2″ inode=25466615 dev=fd:00 mode=0100644 ouid=0 ogid=0 rdev=00:00 obj=unconfined_u:object_r:home_root_t:s0 objtype=CREATE
Audit 로그 설치 방법 및 확인하는 방법은 아래 링크에서 확인할 수 있습니다.
내부 블로그