RedHat entririse Linux 감사 규칙에 대해 혼란스러워합니다. audit.rules에는 다음이 포함됩니다.
# This file contains the auditctl rules that are loaded
# whenever the audit daemon is started via the initscripts.
# The rules are simply the parameters that would be passed
# to auditctl.
# First rule - delete all
-D
# Increase the buffers to survive stress events.
# Make this bigger for busy systems
-b 320
# Feel free to add below this line. See auditctl man page
문서에서 -D는 다음을 의미합니다.
deletes all currently loaded Audit rules, for example:
그러면 위의 audit.rules는 무엇을 생성합니까? audit.log에는 어떤 종류의 정보가 포함되나요? 무엇이 모니터링되고 있는지 어떻게 알 수 있나요? 이 규칙에 대한 나의 초기 이해는 재부팅이 완료되면 이전에 감사된 모든 작업이 삭제되지만 그 후에 실제로 감사되는 작업은 무엇입니까?
설명해 주셔서 대단히 감사합니다.
답변1
기본적으로 감사 규칙은 없습니다. 이 파일은 자신만의 규칙을 작성하기 위한 기반으로 존재합니다. 모든 시스템에 유용한 규칙은 없으므로 이 배포에는 규칙이 제공되지 않습니다. 기록해야 하는 내용은 시스템을 사용하는 목적과 시스템에 대해 알고 싶은 내용에 따라 다릅니다.
이 파일은 실행 중인 시스템에서 감사 서비스를 다시 시작할 수 있도록 먼저 기존 규칙을 지웁니다. 그러면 이전에 존재했던 규칙에 관계없이 알려진 상태가 됩니다.
규칙은 종종 /etc/audit/rules.d. 이 파일은 /etc/audit/audit.rules감사 서비스를 (재)시작하기 전에 다시 생성됩니다.