Имеем: чистую Astra Linux 1.6 SE релиз Smolensk с пакетом обнов от октября.
Версия auditd 2.6.7-2 последняя из репа астры.
При настройке службы auditd для выгрузки логов в MP SIEM возникает проблема на этапе применения рекомендуемых правил журналирования.
Система сразу уходит в backlog limit exceeded при установке log_format = enriched и ребуте системы.
Журнал забит SYS_CALL’ами чуть больше чем полностью. Так например служба nscd забивает лог тысячами сообщений в секунду по правилу:
а при каждом вызове aureport -s лог удваивается в количестве записей (по одной записи aureport на каждую выведенную строчку) по правилу:
Ну и также тысячи других сообщений, которые явно выведут оператора SIEM из себя.
Решение нашёл в удалении ncsd и установке фильтров-исключений на некоторые службы системы, но исключений получается несколько десятков.
Удивляет спам в аудит вызовов sendmail, cupds, pactrl, pulseaudio, а также десятков fly-* и других сервисов при простое системы.
Cписок рекомендуемых правил журналирования и настроек формата событий во вложении.
Версия auditd 2.6.7-2 последняя из репа астры.
При настройке службы auditd для выгрузки логов в MP SIEM возникает проблема на этапе применения рекомендуемых правил журналирования.
Система сразу уходит в backlog limit exceeded при установке log_format = enriched и ребуте системы.
Журнал забит SYS_CALL’ами чуть больше чем полностью. Так например служба nscd забивает лог тысячами сообщений в секунду по правилу:
Код:
-a always,exit -F arch=b64 -S accept4 -k pt_siem_api_accept
Код:
-a always,exit -S all -F path=/etc/passwd -F perm=r -F auid!=-1 -k pt_siem_etc_read.Решение нашёл в удалении ncsd и установке фильтров-исключений на некоторые службы системы, но исключений получается несколько десятков.
Удивляет спам в аудит вызовов sendmail, cupds, pactrl, pulseaudio, а также десятков fly-* и других сервисов при простое системы.
Cписок рекомендуемых правил журналирования и настроек формата событий во вложении.
Последнее редактирование:
