Customer complained that two of his systems were shutting down at random times. Not hang, not halt, just shutdown nicely. Hardware was replaced once already (not my call, before I was involved).

First thing I checked, /var/log/messages. Lots of stack traces, but at other times. "Linux version", yups, it was shutdown nicely.

Then I saw these two innocent lines:

2025-11-28T04:34:27 localhost auditd: Audit daemon is low on disk space for logging
2025-11-28T04:34:28 localhost auditd: The audit daemon is now halting the system

I knew that the machines were running auditd, but I had never looked further than that as it was non-enforcing. Checking auditd.conf, it says:

admin_space_left_action = halt

I checked this file from many other systems, and they're all set to "email" instead of "halt", except for the latest release of software.

And that is how I found out that PD had implemented the CIS Linux Benchmark Security Recommendations!

As usual: "We didn't think that it would cause any problems."

#linux #auditd #sysadmin

Tetragon: лучшие практики и нюансы разработки Tracing Policy

Привет! Меня зовут Виталий Шишкин, я эксперт продукта Container Security в Positive Technologies. За годы работы над продуктом MaxPatrol 10 мы строили аудит Linux на базе подсистемы Auditd, которая решала свою задачу и достаточно просто настраивалась, но ситуация поменялась с появлением контейнеров, которые Auditd корректно поддерживать не умеет. Поэтому эта задача потребовала не просто смену решения для аудита системы, но и создание целого продукта, который сможет учитывать особенности Kubernetes и используемые им технологии ядра Linux.

https://habr.com/ru/companies/pt/articles/970318/

#tetragon #linux #cloud_native #информационная_безопасность #аудит_безопасности #kubernetes #auditd #kprobes #ebpf

https://gitlab.com/ndaal_open_source/ndaal_public_auditd

#auditd #linux #opensource #ndaal #bestpractise

I have been looking more into #auditd .

* For File Integrity Monitoring it looks fantastic.
* process monitoring
* user traces
* pam.d
* ...

I don't understand why it's not used more.

I understand #ebpf (for example with falco) is cool for container envs. But there is a lot auditd can do.

EDR on Linux are mostly useless (it's a Windows market) and a black box, anyway. Do it better, with #auditd plugin #laurel for logevent transformation and enrichment on the host. #velociraptor is not just for response capabilities. It also gives you further enrichment of events, and later alerts. Triggered by your SOAR platform, it brings the security telemetry your analysts have, to a whole new level. I'm happy to see the idea on that picture is in production.

#soc #csirt watch the talk here: https://infosec.exchange/@ministraitor/115418163602340352

https://gitlab.com/ndaal_open_source/ndaal_public_auditd

#auditd #linux #detect #opensource

https://gitlab.com/ndaal_open_source/ndaal_public_auditd

#linux #detect #auditd #opensource

Сбор событий Linux: есть цель – ищем путь

Приветствую всех, кто заглянул на огонек! Меня зовут Роман, и я занимаюсь исследованием безопасности Linux (и всякого другого, связанного с ним) в экспертном центре безопасности в Positive Technologies. Мне периодически приходится сталкиваться с вопросами клиентов или коллег из смежных отделов по поводу оптимизации работы различных компонентов журналирования внутри Linux. Поэтому в какой-то момент возникла идея обрисовать как минимум для самого себя целостную картину их взаимодействия и влияния друг на друга. Результатом работы стала довольно компактная схема, которая помогает оперативнее и эффективнее отвечать на возникающие вопросы для решения проблем. В статье я постараюсь вкратце описать каждый ее блок. Не ручаюсь за то, что будут затронуты все тонкости, известные лишь узкому кругу специалистов. Но на большую часть вопросов я отвечу.

https://habr.com/ru/companies/pt/articles/925894/

#linux #siem #auditd #syslog #journald #администрирование_linuxсистем

Скрипт, который следит за тобой: автоматический аудит действий в Linux

Привет, Хабр! В данной статье хочу разобрать auditd - полезный инструмент аудита в Linux, который записывает каждое действие, а скрипт превратит логи в читаемые отчёты и алерты. Linux-сервер без мониторинга активности пользователей — как дом с открытыми окнами. Проблемы, которые помогает решить auditd : - Несанкционированный доступ (кто и когда использовать, например, sudo ) - Подозрительные команды ( rm -rf , изменение прав, доступ к каким-либо файлам) - Расследование инцидентов (кто что натыкал перед падением сервера) - Соответствие корпоративным стандартам (возможно, ИБ требует логирования действий или вы любите контроль) Решение: auditd + Python-скрипт для анализа и алертов.

https://habr.com/ru/articles/925962/

#auditd #linux #безопасность #логирование #алерты

updated:

https://gitlab.com/ndaal_open_source/ndaal_public_auditd

#linux #auditd #bestpractise #opensource

I have just published version 0.7.2 of Laurel, the #Linux #auditd post-processing plugin. Enjoy useful, enriched, JSON-formatted audit logs suitable for threat detection in modern #SIEM setups. Laurel is written in #Rust.

https://github.com/threathunters-io/laurel/

New features and fixes include
- New configuration option to filter events based on IP addresses, ports in SOCKADDR messages
- Bug fixes to avoid wrong/misleading SYSCALL.SCRIPT enrichments

lazyjournal — ленивый интерфейс для поиска и анализа логов

Ранее, я уже писал статью о различных способах, которые мне приходилось использовать для чтения логов, и к какому решению в итоге пришел. Хотя прошло не так много времени, с тех пор приложение не переставало развиваться. Узнав о том, что на Хабре проходит сезон Open source , мне показалось это отличным поводом подчеркнуть, что именно стало причиной для создания данного инструмента, а также рассказать немного подробнее про основные и новые функции.

https://habr.com/ru/articles/899750/

#сезон_open_source #golang #tui #journalctl #journald #auditd #docker #логи #мониторинг

I have just released version 0.7.0 of Laurel, the #Linux #auditd post-processing plugin. Enjoy useful, enriched, JSON-formatted audit logs suitable for threat detection in modern #SIEM setups. Laurel is written in #Rust.

https://github.com/threathunters-io/laurel/

New features and fixes include
- Save state across restarts
- Apply labels for executables to processes found in /proc
- Fix parsing errors in some non-"enriched" messages from auditd
- Fix missing user/group translations
- More flexible permissions for log files
- SELinux and AppArmor policy updates
- Configurable build identifier

Version 0.6.5 of Laurel, the #Linux #auditd post-processing plugin is out. Enjoy useful, enriched, JSON-formatted audit logs suitable for threat detection in modern #SIEM setups.

New features and fixes include:
- Processes running as part of systemd services get service information added as part of the PID enrichment
- Translate IO_URING operations (like auditd 3.1+)
- Option to use a prefix instead of capitalized key names for enriched/translated data
- Improve process tracking reliability by handling SYSCALL audit messages as early as possible
- Improve caching in user/group lookups

https://github.com/threathunters-io/laurel/

@habr

Цикл статей о методах сбора данных. Анализ логов.

#logManagement #eventCollecting
#auditd #Linux

https://www.securityvision.ru/blog/da-kto-takie-eti-vashi-agenty-ili-kak-sledit-za-bolshim-za-krytym-konturom/?sphrase_id=10015

https://www.securityvision.ru/blog/tri-slona-na-kotorykh-derzhitsya-loggirovanie-v-windows/?sphrase_id=10014

https://habr.com/ru/companies/securityvison/articles/870090/

Два столпа Linux мониторинга

И снова здравствуйте! Продолжаем наш цикл статей о методах сбора данных (Прошлые статьи здесь и здесь ). В данной (третьей) статье опубликована сжатая аналитика по двум технологиям сбора на Linux Endpoint на основе проработки наших продуктов по лог-менеджменту и сбору событий.

https://habr.com/ru/companies/securityvison/articles/870090/

#ebpf #auditd #мониторинг #журнал_событий #журналирование #ausearch #linux #linux_kernel #трассировка

Version 0.6.4 of Laurel, the #Linux #auditd post-processing plugin is out, https://github.com/threathunters-io/laurel/. Enjoy useful, enriched, JSON-formatted audit logs suitable for threat detection in modern #SIEM setups.

New features and fixes include:
- Log to an external program or script
- Add/remove process labels based on command line (execve() argv argument)
- Fixed a bug in tracking of processes across double-forks (shell scripts, sudo, etc.)
- Fixed permission problem when tracking log files using tail
- The parser for Linux Audit logs has been split off into a separate library (i.e. Rust crate)

Some various performance improvements for Debian 12 Bookworm

Here some various improvements I implemented on some of my Debian 12 Bookworm servers in order to improve performance.

zswap: use zsmalloc allocator with newer kernel

If your system has little memory, you might be using zswap already. When memory is getting full, the system will try to swap out less used data from memory to a compressed swap in memory instead of writing it immediately to a […]

https://blog.frehi.be/2024/11/29/some-various-performance-improvements-for-debian-12-bookworm/

#auditd #Debian #Linux #memory #performance #systemd #zswap

https://github.com/Neo23x0/auditd #linux #auditd #security

If you're interested in getting into #Linux #logging and evidence collection, this is an excellent write-up from @kostastsale that compares #EVTX logs on Windows with #Auditd, #SysMon for Linux, and native Linux logging.

#DFIR #LinuxForensics #SIEM #CSIRT

https://kostas-ts.medium.com/telemetry-on-linux-vs-windows-a-comparative-analysis-849f6b43ef8e