GNU/Linux >> LINUX-Kenntnisse >  >> Cent OS

So ändern Sie den Pfad der auditd-Protokolldatei /var/log/audit/audit.log

Eine wichtige Aufgabe im Zusammenhang mit der Fehlerbehebung kann sich aus dem Verständnis der Aktivitäten ergeben, die üblicherweise mit dem Vorgang des Lesens und Schreibens von Dateien verbunden sind. Linux bietet dafür ein einfaches Dienstprogramm. Dieser als auditd bekannte Dienst (oder Daemon) startet während des Startvorgangs. Ereignisse werden in einer zugehörigen Protokolldatei unter /var/log/audit aufgezeichnet, und während sie im Hintergrund ausgeführt wird, können Sie den aktuellen Dienststatus mit dem folgenden Befehl im Falle eines CentOS/RHEL 7-Servers überprüfen:

# systemctl status auditd

Es ist möglich, den Überwachungsdienst anzupassen, und Sie können direkt auf die Größe, den Speicherort und die zugehörigen Attribute der Protokolldatei zugreifen, indem Sie mit Ihrem bevorzugten Texteditor auf die folgende Datei zugreifen:

# vi /etc/audit/auditd.conf

Ändern des standardmäßigen Protokolldateispeicherorts für auditd

1. In der auditd-Konfigurationsdatei /etc/audit/auditd.conf , ändern Sie die Option log_file =/var/log/audit/audit.log so, dass sie auf den neuen Pfad zeigt, z. B.:

# vi /etc/audit/auditd.conf
log_file = /auditd_logs/audit.log

2. Wenn Sie SELinux aktiviert haben, konfigurieren Sie standardmäßige SELinux-Dateikontextbezeichnungen für den neuen Pfad und stellen Sie die Sicherheitskontexte entsprechend wieder her:

# semanage fcontext -a -e /var/log/audit '/auditd_logs(/.*)?'
restorecon -Rv /auditd_logs

3. Starten Sie den auditd-Dienst neu, damit die Änderungen wirksam werden.

# service auditd restart         # For CentOS 5,6
# systemctl restart auditd       # For CentOS 7

Bestätigen

Sie können die neue Protokolldatei /auditd_logs/audit.log überprüfen, um die neuen auditd-Protokolle zu erhalten, in die sie geschrieben werden. Fügen Sie von nun an bei Verwendung des Befehls aussuche die Schalter -if oder –input-logs hinzu:

# ausearch -if /auditd_logs/audit.log -m avc -i -ts recent
Grundlegendes zur Systemüberwachung mit auditd
Wie man auditd verwendet, um einen bestimmten SYSCALL zu überwachen
Wie man das Mounten/Unmounten von Mount-Punkten mit Auditd unter CentOS/RHEL 6,7 überwacht
Wie man auditd verwendet, um Überwachung einer Dateilöschung unter Linux


Cent OS

  1. Wie behandelt Linux mehrere aufeinanderfolgende Pfadtrennzeichen (/home////username///file)?

  2. Unterschied zwischen /var/log/messages, /var/log/syslog und /var/log/kern.log?

  3. 20 Linux-Protokolldateien, die sich im Verzeichnis /var/log befinden

  4. So ändern Sie den Standardspeicherort (/var/cache/yum) des Yum-Cache

  5. Auditd-Meldungen füllen /var/log/messages

So ändern Sie die Standard-Sudo-Protokolldatei in Linux

Wie verhindert man, dass /var/log/kern.log.1 den gesamten Speicherplatz verbraucht?

Audit-Protokoll und Meldungsdatei rotieren nicht unter CentOS/RHEL

Systemprotokolldatei /var/log/messages wird automatisch gelöscht oder gekürzt (CentOS/RHEL)

CentOS / RHEL :So rotieren Sie /var/log/wtmp- und /var/log/btmp-Dateien mit logrotate

So lesen Sie das Überwachungsprotokoll in Linux