Widget HTML #1


Beranda / audit

Inilah Aplikasi Audit Trail yang Wajib Kamu Punya

webmaster


Jejak Digital di Ubuntu Desktop: Aplikasi Audit Trail yang Wajib Kamu Punya

Pernah ngalamin kasus aneh di sistemmu — container Docker tiba-tiba hilang, file konfigurasi berubah, atau aplikasi berhenti tanpa sebab jelas?
Kalau iya, berarti kamu sudah menyentuh dunia forensik sistem — di mana satu-satunya cara menemukan penyebabnya adalah lewat audit trail.

Sebagai pengguna Ubuntu Desktop, kita sering berpikir audit trail itu cuma buat server. Padahal di era DevOps, containerization, dan remote work, aktivitas di laptop developer atau admin justru paling rawan jadi titik awal insiden.
Jadi, pertanyaannya sederhana:

“Tools audit apa yang paling cocok buat Ubuntu Desktop?”

1. Auditd – Pondasi Audit Resmi dari Linux

Kalau kamu butuh audit tingkat kernel, jawabannya adalah auditd.
Auditd adalah native Linux Audit Framework yang bisa merekam semua event penting di sistem — mulai dari siapa yang login, siapa yang menjalankan docker rm, hingga file mana yang dihapus oleh proses tertentu.

Kelebihan:

  • Ringan dan sudah built-in di hampir semua distro Linux.
  • Bisa mencatat event secara real time.
  • Cocok untuk analisis forensik sistem.

Cara instalasi cepat:

sudo apt install auditd audispd-plugins -y
sudo systemctl enable auditd --now

Contoh aturan sederhana: Untuk memantau perintah Docker:

sudo auditctl -w /usr/bin/docker -p x -k docker_monitor

Sekarang, setiap kali ada yang menjalankan perintah Docker, event-nya akan terekam di:

/var/log/audit/audit.log

2. Wazuh – Solusi Audit + Keamanan Terpadu

Kalau kamu mau all-in-one platform, Wazuh adalah pilihan modern.
Wazuh bukan cuma audit trail, tapi juga IDS (Intrusion Detection System), file integrity monitoring, dan endpoint security agent.
Cocok buat kamu yang pengin tahu “siapa melakukan apa” sekaligus “apakah itu berbahaya”.

Kelebihan:

  • Dashboard visual lewat web (Kibana/Elastic).
  • Bisa kirim log dari banyak endpoint (bukan hanya 1 PC).
  • Ada integrasi SIEM (Security Information and Event Management).

Contoh event yang bisa kamu lacak:

  • Perintah sudo yang dijalankan user.
  • File konfigurasi yang diubah.
  • Container Docker yang dihentikan.
  • Proses mencurigakan yang muncul tiba-tiba.

3. Falco – Mata-mata Real-Time untuk Aktivitas Sistem

Kalau kamu lebih sering main di Docker atau Kubernetes, Falco adalah sahabat terbaikmu.
Falco dibuat oleh tim Sysdig, dan bekerja dengan cara memantau syscalls (panggilan sistem) secara langsung dari kernel.

Artinya, dia bisa tahu kalau:

  • ada container yang mencoba akses file sensitif,
  • ada user yang menjalankan shell di dalam container,
  • atau ada script otomatis yang menghapus container tanpa izin.

📦 Kelebihan:

  • Sangat cepat dan real-time.
  • Spesialis di dunia container.
  • Bisa diintegrasikan dengan alert Telegram atau Slack.

4. Logwatch / Journalctl – Untuk Pengguna Desktop Santai

Kalau kamu cuma butuh audit ringan, cukup gunakan yang sudah ada di Ubuntu:

  • journalctl untuk melihat log systemd.
  • logwatch untuk membuat laporan harian otomatis.

Misalnya:

sudo journalctl --since "1 hour ago"

atau

sudo apt install logwatch -y
sudo logwatch --detail high --service all --range today

Hasilnya akan memberimu ringkasan semua aktivitas penting: siapa login, service yang restart, dan error yang muncul.

Kesimpulan: Pilih Sesuai Kebutuhanmu

Kebutuhan Tools Disarankan
Audit ringan untuk desktop pribadi journalctl / logwatch
Audit teknis mendalam di Ubuntu auditd
Audit + IDS + Dashboard web Wazuh
Audit real-time untuk Docker/Kubernetes Falco

Penutup

Audit trail bukan hanya alat pengawasan, tapi juga perlindungan reputasi digital.
Dengan audit yang aktif, kamu bisa tahu apakah container-mu dihapus oleh script, user lain, atau serangan eksternal.

Jadi, sebelum kejadian aneh itu terulang, pasanglah satu dari tools di atas.
Karena di dunia keamanan siber — yang tidak tercatat, seolah tidak pernah terjadi.


Contoh Konfigurasi Lengkap Auditd untuk Melacak Aktivitas Docker

Sekarang kita masuk ke bagian yang paling seru:
bagaimana caranya menggunakan auditd di Ubuntu Desktop untuk mendeteksi siapa, kapan, dan perintah apa yang menyebabkan container hilang atau berubah.

Bayangkan kamu baru saja kehilangan container penting. Kamu ingin tahu — apakah karena docker rm, script otomatis, atau user lain?
Dengan auditd, kamu bisa menjawab itu semua.

1. Instalasi dan Aktivasi Auditd

Auditd sudah tersedia di repositori Ubuntu, jadi cukup jalankan:

sudo apt update
sudo apt install auditd audispd-plugins -y

Setelah itu, aktifkan dan pastikan statusnya:

sudo systemctl enable auditd --now
sudo systemctl status auditd

Kalau statusnya “active (running)”, berarti sistem audit kamu sudah siap bekerja.

2. Menambahkan Aturan Pemantauan Aktivitas Docker

Kita akan membuat aturan agar setiap aktivitas yang melibatkan binary Docker (/usr/bin/docker) atau folder data (/var/lib/docker) dicatat.

Buka file aturan:

sudo nano /etc/audit/rules.d/docker.rules

Isi dengan aturan berikut:

# Pantau setiap eksekusi perintah Docker
-w /usr/bin/docker -p x -k docker_command

# Pantau perubahan file dan folder Docker
-w /var/lib/docker -p wa -k docker_data

# Pantau konfigurasi daemon Docker
-w /etc/docker/daemon.json -p wa -k docker_config

Simpan, lalu muat ulang aturan:

sudo augenrules --load
sudo service auditd restart

3. Uji Jejak Aktivitas Docker

Sekarang coba jalankan perintah berikut (anggap ini simulasi):

sudo docker ps
sudo docker rm -f mycontainer

Lalu lihat log audit:

sudo ausearch -k docker_command

Kamu akan melihat entri seperti ini:

type=EXECVE msg=audit(1730027432.123:522): argc=3 a0="docker" a1="rm" a2="-f"
type=SYSCALL msg=audit(1730027432.123:522): uid=1000 exe="/usr/bin/docker"

Dari situ kamu tahu siapa user-nya (uid), perintah apa yang dijalankan, dan kapan waktunya.

4. Membaca Log Audit Secara Ringkas

Kalau kamu mau log-nya lebih mudah dibaca:

sudo aureport -x --summary | grep docker

Perintah ini akan menampilkan ringkasan semua aktivitas yang menjalankan docker — lengkap dengan jumlah eksekusi dan timestamp.

5. Bonus: Kirim Log Audit ke File Tersendiri

Agar lebih rapi, kamu bisa pisahkan log Docker ke file khusus.

Edit file:

sudo nano /etc/audisp/plugins.d/syslog.conf

Pastikan baris berikut aktif:

active = yes

Lalu buat file log sendiri lewat syslog:

sudo nano /etc/rsyslog.d/30-docker-audit.conf

Isi dengan:

:msg,contains,"docker_command" /var/log/docker-audit.log
& stop

Simpan dan restart rsyslog:

sudo systemctl restart rsyslog

Sekarang semua event audit yang berhubungan dengan Docker akan tersimpan di:

/var/log/docker-audit.log

Kesimpulan Tambahan

Dengan konfigurasi ini, kamu akan punya jejak digital lengkap dari semua aktivitas Docker di Ubuntu Desktop:

  • Siapa user yang menjalankan perintah,
  • Apa perintah yang dijalankan,
  • Kapan dijalankan,
  • Dan file mana yang berubah.

Artinya, kalau suatu hari container kamu “tiba-tiba hilang”, kamu tinggal buka log:

sudo ausearch -k docker_command

dan pelakunya akan langsung ketahuan.

Penutup

Audit trail bukan cuma soal log, tapi soal akuntabilitas digital.
Ubuntu Desktop kamu mungkin terlihat sederhana, tapi dengan sedikit konfigurasi auditd, ia bisa berubah jadi sistem yang self-defending — tahu apa yang terjadi, siapa pelakunya, dan bagaimana mencegahnya terulang.

Karena di dunia keamanan siber, lupa boleh — tapi log tidak boleh hilang. 😉