Auditd は、Linux 監査システムのユーザー空間コンポーネントです。監査レコードをディスクに書き込む役割を果たします。ログの表示は ausearch で行います または aureport ユーティリティ。監査ルールの構成は、auditctl ユーティリティを使用して行います。起動中、/etc/audit/rules.d/audit.rules のルール auditctl によって読み取られます。監査デーモン自体には、管理者がカスタマイズできるいくつかの構成オプションがあります。これらは /etc/audit/rules.d/auditd.conf にあります ファイル。
CentOS/RHEL 6 では、構成ファイルは /etc/audit/audit.rules です。 /etc/audit/rules.d/audit.rules の代わりに。この投稿では、Linux OS の auditd サービスを有効にして、実行、読み取り、書き込みなどのファイル イベントを追跡する手順の概要を説明します。たとえば、/etc/hosts ファイルを追跡する場合は、以下の手順に従います。
1. auditd サービスが開始されていることを確認します。
# service auditd status auditd (pid 2311) is running...
2. 実行されていない場合は、開始します:
# service auditd start
3. auditctl コマンドを実行して、/etc/hosts ファイルの監査を開始します。構文は次のとおりです。
# auditctl -w /etc/hosts -p war -k hosts-file
ここで、
-w – 監視/監査するファイル (フル パスを使用) を指定します。
-p – 権限を監査に設定します。r は読み取り、w は書き込み、x は実行、a は追加します。
-k – 監査情報を記録するためのキーワード。
4. 監査ルールが適切に設定されているかどうかを確認します。 /etc/hosts ファイルに新しいエントリを読み書きし、/var/log/messages で監査情報を確認します
# vi /etc/hosts
# ausearch -i -f /etc/hosts ..... type=PATH msg=audit(05/22/08 18:24:01.071:83) : name=/etc/hosts flags=follow,open inode=4313009 dev=08:05 mode=file,644 ouid=root ogid=root rdev=00:00 type=FS_INODE msg=audit(05/22/08 18:24:01.071:83) : inode=4313009 inode_uid=root inode_gid=root inode_dev=08:05 inode_rdev=00:00 type=FS_WATCH msg=audit(05/22/08 18:24:01.071:83) : watch_inode=4313009 watch=hosts filterkey=testhost perm=read,write,append perm_mask=read ....Linux で特定のディレクトリからファイルを削除しているユーザーを特定する方法