auditd は、Linux 監査システムのユーザー空間コンポーネントです。これは、システム ユーザーが auditd を実行して、Linux システムでの監査機能のルールとアラートを構成できることを意味します。 auditd の最も優れた点の 1 つは、カーネルと緊密に統合されていることです。これにより、必要なほぼすべてを監視することができます。
ユーザーが何が起こっているかを確認できるようにするために、auditd は監査関連のすべてのイベントをディスクに記録し、ausearch や aureport などのさまざまなツールを使用してログ ファイルを調べることができます。デフォルトでは、構成されているルールはありません。 /etc/audit/rules.d/audit.rules にルールを記述する必要があります 構成ファイルが読み取られ、対応する監査アクションが適用されます。
監査ルールでのファイル/ディレクトリの無視/除外
ディレクトリを除く
最も簡単な方法は、たとえば Logging からパスを無効にすることです:
# vi /etc/audit/rules.d/audit.rules -a never,exclude -F dir=/path/to/exclude -k exclude_dir
上記は、ディレクトリ /path/to/exclude を auditd によるログから除外します。
CentOS/RHEL 6 では、構成ファイルは /etc/audit/audit.rules です。 /etc/audit/rules.d/audit.rules の代わりに。ファイルの除外
ファイルを監査から除外するには:
# vi /etc/audit/rules.d/audit.rules -a never,exclude -F path=/file_to_exclude -k exclude_file
ここで、
-a – リストの最後にルールをアクションとともに追加します。
決して – 監査記録は生成されません。
除外 – イベント タイプの除外フィルタ リストにルールを追加します
-F – パス、inode 番号、ファイル名などのルール フィールド
除外に使用されるその他のルール フィールド
また、inode 番号、/sbin/rm などのコマンド/アプリケーション名などのさまざまなルール フィールドを使用して、ファイル/ディレクトリの監査を無効にすることもできます。
# vi /etc/audit/rules.d/audit.rules -a never,exclude -F exe=/usr/bin/java -k exclude_java -a never,exclude -F inode=17910851 -k exclude_inode
UID からすべての操作を除外
以下の形式を追加して、uid からすべての操作を除外します。
# vi /etc/audit/rules.d/audit.rules -a exit,never -F auid=[UID number]
不変モードを無効にする
監査システムが不変モードの場合、ルールの変更は許可されません。そのため、まだコメントしていない場合は、エントリの下の /etc/audit/audit.rules にもコメントしてください。
# vi /etc/audit/audit.rules # Make the configuration immutable -- reboot is required to change audit rules #-e 2
上記の変更が完了したら、システムを再起動する必要があります。
# shutdown -r now
通常、auditd サービスを再起動するだけです:
# service auditd restart