AuditdPy
Linux服务器命令监控辅助脚本,ElasticSearch + Logstash + Kibana + Redis + Auditd(简称elkra吧,hhh),该程序在elkra做就是把Auditd的日志读取出来,然后发送到Redis。
之所以写这个是因为部署方便 / 减少消耗不必要的资源,每台Server都部署Logstash的话很消耗资源。我个人的代码水平、正则水平比较菜,代码水平强的人可以优化下代码和正则。
elkraa部署文档
目录结构
├── README.md
├── docs
│ └── rule.txt auditd规则
├── lib
│ ├── RedisAdd.py redis操作
│ ├── __init__.py
│ ├── config.py 配置文件
│ ├── daemon.py 守护进程
│ ├── log.py debug log
│ ├── mail.py send mail
│ └── redis python redis package
└── main.py 入口文件
配置
Redis or Mail 配置:./lib/config.py 文件,redis的配置是必填的,邮箱那里可以选填,因为代码里面写的是默认不发送邮件的。
#-*- coding:utf-8 -*-
# redis config
# redis地址
redis_host = 'localhost'
# redis密码
redis_pass = 'Mosuan'
# redis db(可选,默认就ok)
redis_db = 0
# redis端口
redis_port = 6379
# redis key, 可以说是频道名吧
redis_key = 'logstash:redis'
# mail config
# 邮箱服务器地址
mail_host = 'smtp.126.com'
# 邮箱服务器端口
mail_port = 25
# 邮箱
mail_user = '[email protected]'
# 邮箱密码
mail_pass = 'xxxxxxxxx'
# 发送给谁
mail_receivers = '[email protected]'
# 邮件标题
mail_title = 'Auditd Error Message'
命令白名单配置: ./main.py 文件 self.command_white 变量
# 支持正则,添加规则的时候必须指定以什么开头和什么结尾,不然误报漏报估计会很严重
# 例子:
self.command_white = [
"^(sudo ausearch) -",
"^grep [a-zA-Z1-9]{1,20}",
"^ifconfig -a",
]
发送邮件的开关:./main.py 文件 mail_status 变量
# False 为不发送邮件, True为发送邮件
mail_status = False
运行程序
运行程序
sudo python main.py start
停止程序
sudo python main.py stop