..png)
감사를 사용하여 파일에 대한 액세스를 모니터링하고 싶기 때문에 다음 규칙을 추가했습니다.
-w /home/test.txt -k monitoring-test
규칙( sudo service auditd restart)을 다시 로드하고 파일을 수정했지만 /home/test.txt로그에는 해당 키를 사용하는 이벤트가 생성되지 않습니다. sudo ausearch -k monitoring-test추가된 규칙에 대한 이벤트만 반환됩니다.
time->Fri May 5 13:32:19 2023 type=CONFIG_CHANGE msg=audit(1682311231.581:1719): auid=1000 ses=3 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 op=add_rule key="monitoring-test" list=4 res=1
이상한 점은 이렇게 네트워크 모니터링 규칙을 추가하면
-a 항상, 종료 -F Arch=b64 -S 수락, 연결 -F 키=네트워크 외부 액세스
해당 키가 포함된 로그 메시지를 받았습니다.
나는 같은 많은 게시물을 읽었습니다.이 튜토리얼또는빨간 모자 포스트그러나 그들의 솔루션 중 어느 것도 내 문제를 해결하지 못했습니다. 편집된 파일의 로그가 수신되지 않는 이유를 아는 사람이 있습니까?
커널에는 다음과 같은 플래그가 있습니다.
sudo grep CONFIG_AUDIT /boot/config-
uname -r
CONFIG_AUDIT=y
CONFIG_AUDITSYSCALL=y
CONFIG_AUDIT_ARCH=y
CONFIG_AUDIT_WATCH=y가 누락된 문제가 있습니까?여기에 대답하세요?
기록을 위해 내 /etc/audit/audit.rules는 다음과 같습니다(위 파일 모니터링 규칙을 영구적으로 추가한 후).
## This file is automatically generated from /etc/audit/rules.d
-D
-a task,never
-w /home/test.txt -k monitoring-test
그리고 sudo auditctl -l돌아오다
-a never,task
-w /home/test.txt -p rwxa -k monitoring-test
내 운영 체제는 Fedora이고 리뷰 버전은 3.1-2입니다.
답변1
~에서auditctl매뉴얼 페이지:
기본적으로 비활성화됨
많은 시스템에서
auditd기본 구성은-a never,task규칙을 설치하는 것입니다.이 규칙을 사용하면 각각의 새 프로세스가 모든 감사 규칙 처리를 건너뜁니다. 이는 일반적으로 시스템 호출 감사와 함께 제공되는 작은 성능 오버헤드를 피하기 위해 수행됩니다. 이를 사용하려면 규칙을 삭제하고 감사 규칙 디렉터리에 추가하여auditd규칙을 제거해야 합니다 .10-no-audit.rules10-base-config.rules정의한 감사 규칙이 일치해야 할 때 일치하지 않는 경우 규칙이
auditctl -l없는지 확인 하세요never,task.
이는 이벤트가 첫 번째 일치 규칙에서 발생하기 때문입니다.
첫 번째 규칙을 삭제합니다 -a never,task.