So finden Sie die Client-IP / den Namen aus den Überwachungsprotokollen

Question

So finden Sie die Client-IP / den Namen aus den Überwachungsprotokollen

414

Lublaut 2018-06-14 в 09:45

Ich überprüfe die Dateien in einer NFS-Freigabe. Wenn ich mir die Überwachungsprotokolle mit dem Befehl ausearch -f /var/nfs/generalansehe, bekomme ich einige Protokolle, die folgendermaßen aussehen:

Auf der Serverseite:

time->Tue Jun 12 16:23:34 2018 type=PROCTITLE msg=audit(1528800814.660:2782): proctitle=636174002F7661722F6E66732F67656E6572616C2F6E6673312E747874 type=PATH msg=audit(1528800814.660:2782): item=0 name="/var/nfs/general/nfs1.txt" inode=4063539 dev=08:01 mode=0100664 ouid=1001 ogid=1001 rdev=00:00 nametype=NORMAL type=CWD msg=audit(1528800814.660:2782): cwd="/home/test" type=SYSCALL msg=audit(1528800814.660:2782): arch=c000003e syscall=2 success=yes exit=3 a0=7ffc2c53c824 a1=0 a2=20000 a3=69d items=1 ppid=31104 pid=7295 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts18 ses=4294967295 comm="cat" exe="/bin/cat" key=(null)

Auf der Kundenseite:

time->Tue Jun 12 10:22:01 2018 type=UNKNOWN[1327] msg=audit(1528779121.923:84671): proctitle=636174002F6D6E742F6E6673332E747874 type=PATH msg=audit(1528779121.923:84671): item=0 name="/mnt/nfs3.txt" inode=4063534 dev=00:2c mode=0100644 ouid=1001 ogid=0 rdev=00:00 nametype=NORMAL type=CWD msg=audit(1528779121.923:84671): cwd="/home/salini" type=SYSCALL msg=audit(1528779121.923:84671): arch=c000003e syscall=2 success=yes exit=3 a0=7ffd7eeef903 a1=0 a2=1fffffffffff0000 a3=7ffd7eeed870 items=1 ppid=5286 pid=5652 auid=1507 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts8 ses=187 comm="cat" exe="/bin/cat" key=(null)

Wie kann ich nun die IP-Adresse und den Hostnamen des Clients erhalten, der auf die NFS-Freigaben zugegriffen hat?

Gibt es eine andere Möglichkeit, diese Details zu finden?

Ich möchte die Details wie Uhrzeit, Datum, IP-Adresse des Clients, Client-Host-Name, Ereignis (wie Lesen, Schreiben, Umbenennen, Ändern des Besitzes der Datei, Löschen oder Erstellen einer Datei im Ordner nfs) erfassen.

Die gesammelten Angaben sind in einer separaten Datei zu speichern, die für weitere Zwecke verwendet werden kann.

Wie kann ich das machen?

Ich bin ein Linux-Neuling. Bitte hilf mir.

Danke dir. :)

0

Ihr Beispiel ähnelt sehr einem lokalen `cat'-Befehl ... grawity vor 5 Jahren 0

Ich glaube nicht, dass "cat" das tun könnte. Wie sagt man, es sieht aus wie der Befehl "Katze"? Lublaut vor 5 Jahren 0

Die PROCTITLE-Zeile sagt "cat \ x00 / var / nfs / general / nfs1.txt". Der Prozesstitel kann nicht über NFS übertragen werden (und natürlich führt NFS selbst nicht "cat" aus, um Dateien zu lesen). Es muss sich also um ein lokal generiertes Ereignis handeln. grawity vor 5 Jahren 0

@grawity Bearbeiteter Beitrag Lublaut vor 5 Jahren 0

So finden Sie die Client-IP / den Namen aus den Überwachungsprotokollen

0 Antworten auf die Frage

Verwandte Probleme