Расширенные возможности auditd — различия между версиями
Материал из Wiki AlterOS
(Новая страница: « Чтобы настроить правила аудита, добавьте следующие строки в файл /etc/audit/rules.d/audit.rules: -a alwa…») |
|||
(не показана 1 промежуточная версия этого же участника) | |||
Строка 16: | Строка 16: | ||
Auditd будет регистрировать операции удаления файла в файле /var/log/audit/audit.log, однако мы можем использовать команду ausearch с ключом, указанным в правиле аудита (-k), для просмотра событий: | Auditd будет регистрировать операции удаления файла в файле /var/log/audit/audit.log, однако мы можем использовать команду ausearch с ключом, указанным в правиле аудита (-k), для просмотра событий: | ||
− | # ausearch -k delete | + | # ausearch -k delete |
+ | |||
+ | [[Категория:AlterOS 7.X]] [[Категория:auditd]] |
Текущая версия на 09:14, 8 июня 2021
Чтобы настроить правила аудита, добавьте следующие строки в файл /etc/audit/rules.d/audit.rules:
-a always,exit -F arch=b32 -S unlink -S unlinkat -S rename -S renameat -S rmdir -k delete -a always,exit -F arch=b64 -S unlink -S unlinkat -S rename -S renameat -S rmdir -k delete
При желании вы можете указать полный путь к каталогу для просмотра, например, если вы хотите отслеживать удаление файлов только в определенной файловой системе, вы можете указать точку монтирования, добавив следующее поле в правило аудита:
-F dir=[directory or mount point]
После написания правил перезапустите службу auditd и включите ее, чтобы сохранить правила после перезагрузки.
# service auditd restart ### use of command service instead of systemctl is intentional here. # systemctl enable auditd
Auditd будет регистрировать операции удаления файла в файле /var/log/audit/audit.log, однако мы можем использовать команду ausearch с ключом, указанным в правиле аудита (-k), для просмотра событий:
# ausearch -k delete