auditdUbuntu 12.04.5에서 파일 시스템 감사를 설정하려고 합니다. 내보낼 파일 시스템이 있는데 이를 /exports/data감사해야 합니다. 저는 다음과 같은 규칙을 만들었습니다.
LIST_RULES: exit,always dir=/exports/data (0x14) perm=wa
NFS 서버의 해당 디렉터리에서 작업을 수행할 때마다 감사 이벤트가 정상적으로 기록됩니다. NFS 클라이언트에서 어떤 작업을 수행할 때마다 아무 것도 기록되지 않습니다. NFS 이벤트를 감사하기 위해 시스템 호출을 생성/모니터링하려면 어떤 규칙이 필요합니까?
답변1
하위 시스템은 auditd시스템 호출을 모니터링하고 NFS 클라이언트는 해당 호스트에서 시스템 호출을 수행합니다. (따라서 auditd자신이 아닌 호스트의 시스템 호출을 감지할 수 없습니다.)
클라이언트 측에서 이벤트를 모니터링하려면 auditd원격 호스트에서 구성하십시오. audisp-remote이러한 호스트에서 플러그인을 사용하면 audispdsyslog 플러그인을 통해 중앙 로깅 호스트에 감사 관련 메시지를 보낼 수 있습니다. 그러면 감사 로그를 집계된 위치에서 사용할 수 있습니다.
매뉴얼에서 audisp-remote:
audisp-remote는 집계된 로그 서버에 대한 원격 로깅을 활성화하는 감사 이벤트 스케줄러 데몬 audispd용 플러그인입니다.