auditd

Auditd vollständig dekodieren in Wazuh? Warum es keinen „All-in-One“-Decoder gibt – und was stattdessen sinnvoll ist

von

Einleitung Linux auditd ist eines der mächtigsten, aber zugleich sperrigsten Telemetrie-Subsysteme im Linux-Ökosystem. Mit über 100 unterschiedlichen Event-Typen liefert auditd extrem detaillierte Informationen zu Prozessen, Systemaufrufen, Berechtigungen und Benutzeraktionen. In der Praxis stellt sich für Wazuh-Administratoren jedoch schnell eine ernüchternde Frage: Gibt es einen vollständigen auditd-Decoder, der alle Event-Typen sinnvoll abdeckt? Die kurze Antwort lautet: … Weiterlesen

Auditd-Decoder in Wazuh erweitern: PROCTITLE korrekt extrahieren

von

EinleitungAuditd-Logs gehören zu den wichtigsten Telemetriedaten für Sicherheits-Monitoring, Incident Response und forensische Analysen. Besonders in Linux-Umgebungen liefern sie reichhaltige Informationen zu Systemaufrufen, Ausführungsparametern und Prozessmetadaten. Eine Herausforderung in Wazuh ist dabei die Decodierung von PROCTITLE, dem Feld, das die vollständige Prozess-Commandline enthält. Dieser Artikel zeigt, wie Sie Ihre auditd-Decoder in Wazuh so erweitern, dass PROCTITLE … Weiterlesen

Wenn Auditd plötzlich dich selbst überwacht

von

Wie wir /var/log überwachen wollten – und Wazuh zum Noise-Generator wurde Wer Auditd produktiv einsetzen will, lernt relativ schnell eine harte Wahrheit: Auditd ist gnadenlos ehrlich.Es loggt nicht nur Angriffe – sondern auch dich selbst. In diesem Beitrag zeige ich, wie wir auf Debian ein sauberes Auditd-Setup für Wazuh aufgebaut haben, warum plötzlich der Wazuh-Logcollector … Weiterlesen