Audit 설정 안내

1. AIX에서 Remote Logging 설정

PLURA 상단 메뉴에서 Install Agents 선택
OS별 선택에서 UNIX > AIX 탭 클릭

2. 파일 감사 설정

Audit > config 설정값 변경
감사 서비스 종료

audit off

audit shutdown

config 파일 수정

vi /etc/security/audit/config

  // 값 변경

  set binmode = off

  streammode = on

  // 입력값 추가(class section, user section)

  class:

  system = USER_Remove,USER_Create,GROUP_Create,GROUP_Remove

  init = User_Login

  …

  users:

  root = general

  default = general, system, init

streamcmds 파일 수정

/etc/security/audit/streamcmds

  // 입력값 추가

  /usr/sbin/auditstream | auditpr -v | /usr/bin/logger -p local7.info &

  find /etc -type f | awk ‘{printf(“%s:\n\tw = FILE_Write\n\n”,$1)}’ >> /etc/security/audit/objects

  /usr/sbin/auditstream | /usr/sbin/auditselect -e “event == FILE_Write” | auditpr  -hhelpPRtTc -v > /dev/console &

objects 파일 수정

vi /etc/security/audit/objects

  /etc/hosts:

  w = FILE_Write

Audit Tag Name 설정

vi /etc/security/audit/objects

  /etc/hosts:

  w = W_@태그네임

events 파일 수정

vi /etc/security/audit/events

  W_@태그네임 = printf “%s_qubit”

3. Syslog 모듈 구성

syslog.conf 파일 수정

vi /etc/syslog.conf

  // 입력값 추가

  *.info @로그취합서버 IP주소

  *.debug @로그취합서버 IP주소

  …

  *.debug;*.emerg;*.alert;*.crit;*.err;*.warning;*.notice;*.info;mail.none;auth.none  /var/adm/syslog/syslog.log

  #User.debug /var/adm/syslog/syslog.log rotate size 5m files 5

syslog 재시작

refresh -s syslogd

audit 시작

audit off

audit start

4. Audit 필터 등록

PLURA 웹에서 Audit 필터를 등록합니다. (바로가기)

5. Audit 필터 탐지 활용

(바로가기)

참고사이트

https://developer.ibm.com/technologies/systems/articles/au-audit_filter/

PreviousIBM AIX 서버 설정 NextAudit을 이용한 해킹 탐지

Last updated 1 year ago

hashtag1. AIX에서 Remote Logging 설정

hashtag2. 파일 감사 설정

hashtag3. Syslog 모듈 구성

hashtag4. Audit 필터 등록

hashtag5. Audit 필터 탐지 활용

hashtag참고사이트

1. AIX에서 Remote Logging 설정

2. 파일 감사 설정

3. Syslog 모듈 구성

4. Audit 필터 등록

5. Audit 필터 탐지 활용

참고사이트