Я пытался просмотреть свой файл adhoc alert.log с помощью auditd, но не знаю, почему он не работает.
Я не нашел связанных записей в файле auditd.log.
# auditctl -w /tmp/alert1.log -p wa -k предупреждение
#
# аудитctl -l
- никогда, задача
-a всегда,выход -F arch=b64 -S adjtimex,settimeofday -F клавиша=изменение времени
-a всегда,выход -F arch=b32 -S stime,settimeofday,adjtimex -F ключ=изменение времени
-a всегда, выход -F arch=b64 -S clock_settime -F ключ=изменение времени
-a всегда, выход -F arch=b32 -S clock_settime -F ключ=изменение времени
-w /tmp/alert1.log -p wa -k предупреждение
эхо-оповещение >> /tmp/alert1.log
Также пытался отслеживать активность регистратора с помощью этого:
-w /bin/logger -p x -k LOGGER_CALL
Но кажется, что он генерирует предупреждение только один раз, когда я снова использую регистратор, то следующее предупреждение регистратора не просматривается/не регистрируется.
...РЕДАКТИРОВАТЬ
Я обнаружил какое-то странное поведение,
Это работает только тогда, когда я использую только эти два правила>
-w /usr/bin/logger -p x -k LOGGER_CALL
-w /tmp/alert.log -p wa -k предупреждение
Но когда я использую и с другими правилами, это не сработало,
Могут ли некоторые другие правила иметь приоритет перед моими правилами?
Еще одно странное поведение > Когда я просто очищаю/изменяю правила и перезапускаю auditd, он все равно не работает, мне приходится перезагружать весь сервер.
Вот и все правила, где не получилось в пределах.
- задача, никогда
-a всегда, выход -F arch=b64 -S adjtimex -S settimeofday -k изменение времени
-a всегда,выход -F arch=b32 -S adjtimex -S settimeofday -S stime -k изменение времени
-a всегда, выход -F arch=b64 -S clock_settime -k изменение времени
-a всегда, выход -F arch=b32 -S clock_settime -k изменение времени
-w /etc/localtime -p wa -k изменение времени
-w /var/log/sudo.log -p wa -k действия
-w /etc/sudoers -p wa -k область действия
-w /etc/sudoers.d/ -p wa -k область действия
-w /var/run/utmp -p wa -k сессия
-w /var/log/wtmp -p wa -k логины
-w /var/log/btmp -p wa -k логины
-w /var/log/lastlog -p wa -k логины
-w /var/run/faillock/ -p wa -k логины
-w /etc/selinux/ -p wa -k MAC-политика
-w /usr/share/selinux/ -p wa -k MAC-политика
-a всегда выход -F arch=b64 -S sethostname -S setdomainname -k системная локаль
-a всегда выход -F arch=b32 -S sethostname -S setdomainname -k системная локаль
-w /etc/issue -p wa -k системная локаль
-w /etc/issue.net -p wa -k системная локаль
-w /etc/hosts -p wa -k системная локаль
-w /etc/sysconfig/network -p wa -k системная локаль
-w /etc/sysconfig/network-scripts/ -p wa -k системная локаль
-w /etc/group -p wa -k идентификатор
-w /etc/passwd -p wa -k личность
-w /etc/gshadow -p wa -k личность
-w /etc/shadow -p wa -k личность
-w /etc/security/opasswd -p wa -k идентификатор
-w /usr/bin/logger -p x -k LOGGER_CALL
-w /tmp/alert.log -p wa -k предупреждение
