Důležitý úkol související s odstraňováním problémů může vyvstat z pochopení činností běžně spojených s činností čtení a zápisu souborů. Linux k tomu poskytuje jednoduchý nástroj. Tato služba (nebo démon), známá jako auditd, se spouští během procesu spouštění. Události se zaznamenávají do přidruženého souboru protokolu, který se nachází na /var/log/audit, a protože běží na pozadí, můžete v případě serveru CentOS/RHEL 7 zkontrolovat aktuální stav služby pomocí níže uvedeného příkazu:
# systemctl status auditd
Auditorskou službu je možné přizpůsobit a můžete mít přímý přístup ke správě velikosti souboru protokolu, umístění a souvisejících atributů přístupem k následujícímu souboru pomocí vašeho oblíbeného textového editoru:
# vi /etc/audit/auditd.conf
Změna výchozího umístění souboru protokolu pro auditované
1. V auditovaném konfiguračním souboru /etc/audit/auditd.conf , změňte volbu log_file =/var/log/audit/audit.log tak, aby ukazovala na novou cestu, např. např.:
# vi /etc/audit/auditd.conf log_file = /auditd_logs/audit.log
2. Pokud máte povolen SELinux, nakonfigurujte výchozí popisky kontextu souboru SELinux pro novou cestu a podle toho obnovte kontexty zabezpečení:
# semanage fcontext -a -e /var/log/audit '/auditd_logs(/.*)?' restorecon -Rv /auditd_logs
3. Restartujte auditovanou službu, aby se změny projevily.
# service auditd restart # For CentOS 5,6 # systemctl restart auditd # For CentOS 7
Ověřit
Můžete zkontrolovat nový soubor protokolu /auditd_logs/audit.log, do kterého se zapisují nové auditované protokoly. Od této chvíle také při používání příkazu ausearch přidejte přepínače -if nebo -input-logs:
# ausearch -if /auditd_logs/audit.log -m avc -i -ts recentPochopení auditování systému pomocí auditd
Jak používat auditd k monitorování konkrétního SYSCALL
Jak monitorovat připojení/odpojení přípojných bodů pomocí auditovaného na CentOS/RHEL 6,7
Jak použít auditd k sledovat mazání souboru v Linux