auditd ist eine Userspace-Komponente des Linux-Prüfsystems. Dies bedeutet, dass Systembenutzer auditd ausführen können, um Regeln und Warnungen für die Überwachungsfunktionalität mit dem Linux-System zu konfigurieren. Eines der besten Dinge an auditd ist, dass es eng in den Kernel integriert ist, sodass wir wirklich fast alles überwachen können, was wir wollen.
Damit die Benutzer sehen können, was vor sich geht, kann auditd alle Audit-bezogenen Ereignisse auf einer Festplatte aufzeichnen, und wir können verschiedene Tools wie aussearch oder aureport verwenden, um die Protokolldateien zu durchsuchen. Standardmäßig sind keine Regeln konfiguriert. Wir müssen unsere Regeln in /etc/audit/rules.d/audit.rules schreiben Konfigurationsdatei, die gelesen und die entsprechenden Audit-Aktionen angewendet werden.
Ignorieren/Ausschließen einer Datei/eines Verzeichnisses in der Überwachungsregel
Verzeichnisse ausgenommen
Am einfachsten ist es, den Pfad einfach aus der Protokollierung zu deaktivieren, zum Beispiel:
# vi /etc/audit/rules.d/audit.rules -a never,exclude -F dir=/path/to/exclude -k exclude_dir
Oben schließt das Verzeichnis /path/to/exclude von der Protokollierung durch auditd aus.
Unter CentOS/RHEL 6 ist die Konfigurationsdatei /etc/audit/audit.rules statt /etc/audit/rules.d/audit.rules.Dateien ausschließen
So schließen Sie Dateien von der Überwachung aus:
# vi /etc/audit/rules.d/audit.rules -a never,exclude -F path=/file_to_exclude -k exclude_file
Hier
-a – Regel mit Aktion an das Ende der Liste anhängen.
nie – Es werden keine Audit-Aufzeichnungen generiert.
ausschließen – Fügen Sie der Filterliste zum Ausschließen von Ereignistypen eine Regel hinzu
-F – Regelfeld wie Pfad, Inode-Nummer, Dateiname etc.
Andere Regelfelder zum Ausschließen
Sie können die Überwachung von Dateien/Verzeichnissen auch deaktivieren, indem Sie verschiedene andere Regelfelder wie Inode-Nummer, Befehls-/Anwendungsname wie /sbin/rm usw. verwenden.
# vi /etc/audit/rules.d/audit.rules -a never,exclude -F exe=/usr/bin/java -k exclude_java -a never,exclude -F inode=17910851 -k exclude_inode
alle Operationen von einer UID ausschließen
Fügen Sie das folgende Format hinzu, um alle Operationen von einer UID auszuschließen.
# vi /etc/audit/rules.d/audit.rules -a exit,never -F auid=[UID number]
Unveränderlichen Modus deaktivieren
Wenn sich das Prüfsystem im unveränderlichen Modus befindet, sind keine Regeländerungen zulässig. Stellen Sie also sicher, dass Sie auch in /etc/audit/audit.rules unterhalb des Eintrags einen Kommentar hinterlassen, falls dies noch nicht geschehen ist.
# vi /etc/audit/audit.rules # Make the configuration immutable -- reboot is required to change audit rules #-e 2
Sie müssen das System neu starten, nachdem die oben genannten Änderungen vorgenommen wurden.
# shutdown -r now
Im Normalfall starten Sie einfach den auditd-Dienst neu:
# service auditd restart