Auditd ist die Userspace-Komponente des Linux Auditing Systems. Es ist für das Schreiben von Audit-Aufzeichnungen auf die Festplatte verantwortlich. Das Anzeigen der Protokolle erfolgt mit ausearch oder aureport Dienstprogramme. Die Konfiguration der Überwachungsregeln erfolgt mit dem Dienstprogramm auditctl. Während des Starts gelten die Regeln in /etc/audit/rules.d/audit.rules werden von auditctl gelesen. Der Audit-Daemon selbst hat einige Konfigurationsoptionen, die der Administrator möglicherweise anpassen möchte. Sie befinden sich in /etc/audit/rules.d/auditd.conf Datei.
Unter CentOS/RHEL 6 ist die Konfigurationsdatei /etc/audit/audit.rules statt /etc/audit/rules.d/audit.rules.In diesem Beitrag werden Schritte beschrieben, mit denen der auditd-Dienst des Linux-Betriebssystems Dateiereignisse wie Ausführen, Lesen, Schreiben usw. verfolgen kann. Wenn Sie beispielsweise die Datei /etc/hosts verfolgen möchten, befolgen Sie die unten beschriebenen Schritte.
1. Überprüfen Sie, ob der auditd-Dienst gestartet wurde.
# service auditd status auditd (pid 2311) is running...
2. Wenn es nicht läuft, starten Sie es:
# service auditd start
3. Führen Sie den Befehl auditctl aus, um mit der Prüfung der Datei /etc/hosts zu beginnen. Die Syntax ist wie unten gezeigt:
# auditctl -w /etc/hosts -p war -k hosts-file
Hier
-w – Zeigen Sie auf eine Datei (verwenden Sie den vollständigen Pfad), um sie zu überwachen/zu prüfen.
-p – Legen Sie die Berechtigung zum Audit fest, r für Lesen, w für Schreiben, x für Ausführen, a für Anhängen.
-k – ein Schlüsselwort zum Aufzeichnen der Audit-Informationen.
4. Lassen Sie uns überprüfen, ob die Überwachungsregel richtig eingestellt ist. Lesen und schreiben Sie einen neuen Eintrag in die /etc/hosts-Datei und überprüfen Sie dann die Audit-Informationen in /var/log/messages
# vi /etc/hosts
# ausearch -i -f /etc/hosts ..... type=PATH msg=audit(05/22/08 18:24:01.071:83) : name=/etc/hosts flags=follow,open inode=4313009 dev=08:05 mode=file,644 ouid=root ogid=root rdev=00:00 type=FS_INODE msg=audit(05/22/08 18:24:01.071:83) : inode=4313009 inode_uid=root inode_gid=root inode_dev=08:05 inode_rdev=00:00 type=FS_WATCH msg=audit(05/22/08 18:24:01.071:83) : watch_inode=4313009 watch=hosts filterkey=testhost perm=read,write,append perm_mask=read ....So identifizieren Sie Benutzer, die Dateien aus einem bestimmten Verzeichnis in Linux löschen