Расширенные возможности auditd

Материал из Wiki AlterOS
Перейти к: навигация, поиск

Чтобы настроить правила аудита, добавьте следующие строки в файл /etc/audit/rules.d/audit.rules:

-a always,exit -F arch=b32 -S unlink -S unlinkat -S rename -S renameat  -S rmdir -k delete
-a always,exit -F arch=b64 -S unlink -S unlinkat -S rename -S renameat  -S rmdir -k delete

При желании вы можете указать полный путь к каталогу для просмотра, например, если вы хотите отслеживать удаление файлов только в определенной файловой системе, вы можете указать точку монтирования, добавив следующее поле в правило аудита:

-F dir=[directory or mount point]


После написания правил перезапустите службу auditd и включите ее, чтобы сохранить правила после перезагрузки.

# service auditd restart     ### use of command service instead of systemctl is intentional here.
# systemctl enable auditd

Auditd будет регистрировать операции удаления файла в файле /var/log/audit/audit.log, однако мы можем использовать команду ausearch с ключом, указанным в правиле аудита (-k), для просмотра событий:

# ausearch -k delete