외부 mysql 호스트에 연결하지 못하는 서버의 애플리케이션/활동을 찾으려고 합니다. 이를 위해 을 사용하기로 결정했습니다 auditctl
. 다음 명령을 실행하고 있습니다.
[nir]$ sudo auditctl -A exit,always -F arch=b64 -S connect
[nir]$ sudo auditctl -l | grep -i 'arch'
-a always,exit -F arch=b64 -S connect
[nir]$ sudo ls -l -h /var/log/audit/audit.log
-rw------- 1 root root 6.2M May 1 2020 /var/log/audit/audit.log
[nir]$ sudo auditctl -m 'hey, are you working at all?'
[nir]$ sudo ls -l -h /var/log/audit/audit.log
-rw------- 1 root root 6.2M May 1 2020 /var/log/audit/audit.log
[nir]$ service auditd status
Redirecting to /bin/systemctl status auditd.service
● auditd.service - Security Auditing Service
Loaded: loaded (/usr/lib/systemd/system/auditd.service; enabled; vendor preset: enabled)
Active: active (running) since Sun 2019-12-15 20:24:05 UTC; 1 years 2 months ago
Docs: man:auditd(8)
https://github.com/linux-audit/audit-documentation
Main PID: 1898 (auditd)
Tasks: 2
Memory: 140.0K
CGroup: /system.slice/auditd.service
└─1898 /sbin/auditd
Warning: Journal has been rotated since unit was started. Log output is incomplete or unavailable.
그러나 로그 파일은 /var/log/audit/audit.log
전혀 업데이트되지 않습니다. 저는 AWS EC2 서버를 사용하고 있습니다.
어떤 제안이 있으십니까?