Re: Consulta con logs para auditar

Pegale una revisada a /var/log/secure

hace un last -60

modifica el /etc/logrotate.conf y subelo de 4 semanas a 100 semanas (2 años).

Agrega en el /etc/profile.d/mail.sh que te envie un email si un
usuario con acceso a 0 (super usuario) entra y enviate el netstat -nap
| grep ESTA (todas las sessiones activas).

Si quieres ser paranoico. (revisa que no se haya borrado un usuario y
no haya ningun rastro) en la Universidad despues de un reboot feo con
una base de datos postgresql version 6 o 7.3 (no recuerdo) me paso que
un usuario se borro (despues de leer un rato, y revisando el catalogo
solo bastaba con crear el usuario para tener acceso) era como si me
hubieran arrancado al usuario del catalogo, pero dejado todo lo demas.
(bien raro).

2010/5/6 Marcelo Opazo Vivallos <m(dot)opazovivallos(at)gmail(dot)com>:
> Estimados Maestros,
>
> Me pasaron una DB PG bastante hiper añeja, que mejor ni menciono la
> versión y con un monton de usuarios y cosas adentro. El tema es que
> habia creado un usuario para realizar las replicas y backup y alguien
> borro este usuario. Tengo el día y hora que lo realizó, ya que en esa
> fecha dejo de funcionar mi script.
>
> Consulta:
> ¿Como podría averiguar sin instalar ningún programa anexo el usuario
> que entro y borró el usuario? Le he dado un ojo a varios parametros de
> conf del log y examinados los existentes pero no hay ninguno que me
> proporcione esta info.
>
> pd: Sé que eso no se debería tener acceso nadie, pero es como estaba
> el sistema y junto con una ensalada de archivos. Les he propuesto
> pasarlos a un servidor mas actualizado, por el momento necesito saber
> que usuario fue el que borro esto.
>
>
> Desde ya, muchas gracias!
> Marcelo
> -
> Enviado a la lista de correo pgsql-es-ayuda (pgsql-es-ayuda(at)postgresql(dot)org)
> Para cambiar tu suscripción:
> http://www.postgresql.org/mailpref/pgsql-es-ayuda
>

--
Saludos,
Horacio Miranda Aguilera.
RedHat Certified Engineer
DBA Oracle - Large databases
+56 2 8974500