재부팅/종료/로그인을 모니터링하도록 auditd를 구성했습니다. 다음을 통해 파일 시스템 규칙과 시스템 호출 규칙을 추가해 보세요.
-w /sbin/shutdown -p x -k power
-w /sbin/poweroff -p x -k power
-w /sbin/reboot -p x -k power
-w /sbin/halt -p x -k power
시스템 호출 방법:
-a exit,always -F arch=b64 -S execve -F path=/sbin/reboot -k power
-a exit,always -F arch=b64 -S execve -F path=/sbin/halt -k power
-a exit,always -F arch=b64 -S execve -F path=/sbin/poweroff -k power
-a exit,always -F arch=b64 -S execve -F path=/sbin/shutdown -k power
이들 중 어느 것도 작업을 완료하지 못하는 것 같지만 다른 로그는 정상적으로 추가됩니다. 예를 들어 다음은 예상대로 로깅됩니다.
-w /usr/bin/dpkg -p x -k apps
다른 장치와 Ubuntu의 두 가지 버전(16.04 및 18.04)에서 사용해 보았습니다.