Windows에는EventID 1102 "감사 로그가 지워졌습니다.". Unix/Linux에서 동등한 감사 이벤트는 무엇입니까?
샘플 이벤트가 있고 이 이벤트를 가져오기 위해 구성해야 하는 감사 정책을 알고 있는 경우 해당 내용도 게시해 주세요.
답변1
아니요: 감사 로그는 삭제할 수 있는 텍스트 파일입니다. 그러나 auditd가 초기 시작 시 실행되도록 구성된 경우 auditd는 중지될 수 없으며 열려 있는 파일 설명자에 계속해서 씁니다. auditd가 출력 로그를 모니터링하도록 구성된 경우 삭제가 기록됩니다(단, 정보를 보려면 파일을 복원해야 함).
일반적으로 (최종 사용자 시스템에서) auditd는 "보안 이벤트"(로그인/로그아웃)를 기록하도록 구성되지만 파일 변경 사항을 감시하도록 지시할 수 있습니다. (예를 들어) 구체적인 것은 /var/log/audit/auditd.log없지만보다매뉴얼 페이지에 설명된 대로입니다.
추가 자료: