トラブルシューティングに関連する重要なタスクは、ファイルの読み取りと書き込みのアクションに一般的に関連付けられているアクティビティを理解することから発生する可能性があります。 Linux には、このための簡単なユーティリティが用意されています。 auditd として知られるこのサービス (またはデーモン) は、起動プロセス中に開始されます。イベントは、/var/log/audit にある関連するログ ファイルに記録され、バックグラウンドで実行されるため、CentOS/RHEL 7 サーバーの場合、以下のコマンドで現在のサービス ステータスを確認できます。
# systemctl status auditd
監査サービスをカスタマイズすることが可能であり、お気に入りのテキスト エディターで次のファイルにアクセスすることで、ログ ファイルのサイズ、場所、および関連する属性を管理するために直接アクセスできます。
# vi /etc/audit/auditd.conf
auditd のデフォルトのログ ファイルの場所の変更
1. auditd 構成ファイル /etc/audit/auditd.conf 内 、オプション log_file =/var/log/audit/audit.log を変更して、新しいパスを指すようにします。例:
# vi /etc/audit/auditd.conf log_file = /auditd_logs/audit.log
2. SELinux を有効にしている場合は、デフォルトの SELinux ファイル コンテキスト ラベルを新しいパスに設定し、それに応じてセキュリティ コンテキストを復元します。
# semanage fcontext -a -e /var/log/audit '/auditd_logs(/.*)?' restorecon -Rv /auditd_logs
3. 変更を有効にするために auditd サービスを再起動します。
# service auditd restart # For CentOS 5,6 # systemctl restart auditd # For CentOS 7
確認
新しいログ ファイル /auditd_logs/audit.log を確認すると、新しい auditd ログが書き込まれます。また、今後、ausearch コマンドを使用する場合は、-if または –input-logs スイッチを追加してください:
# ausearch -if /auditd_logs/audit.log -m avc -i -ts recentauditd によるシステム監査について
auditd を使用して特定の SYSCALL を監視する方法
CentOS/RHEL 6、7 で Auditd を使用してマウント ポイントのマウント/マウント解除を監視する方法
auditd を使用して次のことを行う方法Linux でのファイル削除の監視