Home / Log Catalog / LL-002

LL-002 Linux auditd File Access Log

Log ID:

LL-002

Source:

Linux App host

Representative Path:

/var/log/audit/audit.log

Collection:

Filebeat auditd module

Primary Use:

민감 경로 접근, 파일 탐색, staging 경로 접근 확인

Log Structure

auditd 로그는 하나의 행위를 여러 record로 나누어 남긴다. 예를 들어 파일 접근 이벤트는 SYSCALL, PATH, CWD, PROCTITLE record가 같은 sequence로 묶인다. 분석할 때는 단일 줄만 보지 말고 같은 sequence의 record를 함께 읽어야 한다.

Representative Events

Record	Meaning
`SYSCALL`	어떤 시스템 호출이 실행되었는지
`PATH`	접근한 파일 또는 디렉터리 경로
`CWD`	명령 실행 당시 작업 디렉터리
`PROCTITLE`	실제 실행 명령어
`CONFIG_CHANGE`	audit rule 추가/변경

Important Fields

Field	Meaning
`auditd.log.name`	접근 대상 파일/디렉터리
`process.executable`	실행 파일 경로
`user.name`	프로세스 실행 사용자
`user.audit.name`	로그인 기준 audit 사용자
`auditd.log.key`	audit rule key
`event.action`	auditd 이벤트 동작

Mapped Techniques

Technique	Mapping Reason
T1083 File and Directory Discovery	`ls`, `find`, 민감 경로 탐색 확인
T1074.001 Local Data Staging	임시 경로에 데이터 모으기 확인
T1552.001 Credentials in Files	설정 파일, 환경 파일 접근 확인

KQL Draft

event.module: "auditd" and auditd.log.name: /opt/spacebar-booking*

Investigation Pivot

auditd.log.name에서 시작해 process.executable, user.audit.name, 같은 시간대의 SSH 로그인 이벤트로 연결한다.