일반 사용자가 서비스를 실행하려고 하는지 추적하고 싶습니다. 서비스를 시작/중지하는 명령은 다음과 같습니다.
service filebeat start
나는 다음과 같은 감사 규칙을 작성했습니다.
-w /usr/sbin/service -p warx -k service_attempt
서비스를 시작/중지할 때마다 태그(service_attempt)가 기록되지만 감사는 실패하지 않습니다. 따라서 서비스 시작/중지 시도의 성공 여부를 구분할 수 없습니다.
답변1
/var/log/auth.log승인되지 않은 사용자가 서비스 중지/시작 거부를 기록했기 때문에 귀하의 질문에 약간 혼란스러워졌습니다 .
서비스 관련 이벤트와 실패한 시도만 보려면 다음을 실행하세요.
$sudo cat /var/log/auth.log | grep service | grep FAILED
다음은 방금 sudo 없이 생성한 후 실행을 시도한 basicuser의 샘플 출력입니다 service alsa-state restart. 출력은 여러분이 알아야 할 모든 것을 알려줍니다. 중요한 부분(날짜, 세션, 실패, 서비스 이름, 사용자 이름)을 굵게 표시했습니다.
foot@BOOT:~# cat /var/log/auth.log | grep service | grep FAILED
3월 1일 21:13:24BOOT polkitd(authority=local): unix-operator세션: 6개 실패system-bus-name::1.255에서 org.freedesktop.systemd1.manage-units 작업에 대한 권한을 얻으려면 인증하세요.systemctl이 alsa-state.service를 시작합니다.](소유자유닉스 사용자:기본 사용자)
auth.log 파일은 서비스 및 로그인 시도를 포함하여 인증 실패에 대해 알아야 할 모든 것을 알려줍니다.