# Audit設定案内 ### 1. AIXでRemote Logging設定 PLURA 右上のInstall Agentsページ上段メニューからOS別選択 UNIX > AIXタブ ### 2. ファイル監査設定 **Audit > config設定値変更** audit service終了 `# audit off` `# audit shutdown` config修正 `# vi /etc/security/audit/config` {% hint style="info" %} ``` // 値変更 set binmode = off streammode = on // 入力値追加(class section, user section) class: system = USER_Remove,USER_Create,GROUP_Create,GROUP_Remove init = User_Login … users: root = general default = general, system, init ``` {% endhint %} /etc/security/audit/streamcmds修正 {% hint style="info" %} ``` // 入力値追加 /usr/sbin/auditstream | auditpr -v | /usr/bin/logger -p local7.info & find /etc -type f | awk ‘{printf(“%s:\n\tw = FILE_Write\n\n”,$1)}’ >> /etc/security/audit/objects /usr/sbin/auditstream | /usr/sbin/auditselect -e “event == FILE_Write” | auditpr -hhelpPRtTc -v > /dev/console & ``` {% endhint %} vi /etc/security/audit/objects修正 {% hint style="info" %} ``` /etc/hosts: w = FILE_Write ``` {% endhint %} Audit Tag Name設定 `# vi /etc/security/audit/objects` {% hint style="info" %} ``` /etc/hosts: w = W_@タグ名 ``` {% endhint %} vi /etc/security/audit/events修正 {% hint style="info" %} ``` W_@タグ名 = printf “%s_qubit” ``` {% endhint %} ### 3. Syslog module構成 config修正 `# vi /etc/syslog.conf` {% hint style="info" %} ``` // 入力値追加 *.info @ログ取り込みサーバーIPアドレス *.debug @ログ取り込みサーバーIPアドレス … *.debug;*.emerg;*.alert;*.crit;*.err;*.warning;*.notice;*.info;mail.none;auth.none /var/adm/syslog/syslog.log #User.debug /var/adm/syslog/syslog.log rotate size 5m files 5 ``` {% endhint %} restart src `# refresh -s syslogd` start audit `# audit off` `# audit start` ### 4. PLURA ウェブでAuditフィルタ登録 PLURA V5ウェブでAuditフィルタを登録します。 [(ショートカット)](https://qubitsec.github.io/ja_f_regi_audit.html) ### 5. PLURAでAuditフィルタ検出活用 [(ショートカット)](https://qubitsec.github.io/ja_aix_hack_using_audit.html) ### 参照