Расширенные возможности auditd
Материал из Wiki AlterOS
Версия от 08:43, 8 июня 2021; 95.79.121.100 (обсуждение) (Новая страница: « Чтобы настроить правила аудита, добавьте следующие строки в файл /etc/audit/rules.d/audit.rules: -a alwa…»)
Чтобы настроить правила аудита, добавьте следующие строки в файл /etc/audit/rules.d/audit.rules:
-a always,exit -F arch=b32 -S unlink -S unlinkat -S rename -S renameat -S rmdir -k delete -a always,exit -F arch=b64 -S unlink -S unlinkat -S rename -S renameat -S rmdir -k delete
При желании вы можете указать полный путь к каталогу для просмотра, например, если вы хотите отслеживать удаление файлов только в определенной файловой системе, вы можете указать точку монтирования, добавив следующее поле в правило аудита:
-F dir=[directory or mount point]
После написания правил перезапустите службу auditd и включите ее, чтобы сохранить правила после перезагрузки.
# service auditd restart ### use of command service instead of systemctl is intentional here. # systemctl enable auditd
Auditd будет регистрировать операции удаления файла в файле /var/log/audit/audit.log, однако мы можем использовать команду ausearch с ключом, указанным в правиле аудита (-k), для просмотра событий:
- ausearch -k delete