Auditd je komponenta uživatelského prostoru systému Linux Auditing System. Je zodpovědný za zápis auditních záznamů na disk. Prohlížení protokolů se provádí pomocí ausearch nebo aureport utility. Konfigurace pravidel auditu se provádí pomocí obslužného programu auditctl. Při spouštění se pravidla v /etc/audit/rules.d/audit.rules jsou čteny auditctl. Samotný audit démon má některé možnosti konfigurace, které si může správce přát přizpůsobit. Najdete je v /etc/audit/rules.d/auditd.conf soubor.
Na CentOS/RHEL 6 je konfigurační soubor /etc/audit/audit.rules místo /etc/audit/rules.d/audit.rules.Tento příspěvek nastíní kroky, jak umožnit službě auditovanému operačnímu systému Linux sledovat události souborů, jako je spuštění, čtení, zápis atd. Pokud například chcete sledovat soubor /etc/hosts, postupujte podle kroků uvedených níže.
1. Zkontrolujte, zda je spuštěna auditovaná služba.
# service auditd status auditd (pid 2311) is running...
2. Pokud neběží, spusťte jej:
# service auditd start
3. spuštěním příkazu auditctl zahájíte auditování souboru /etc/hosts. Sytaxe je uvedena níže:
# auditctl -w /etc/hosts -p war -k hosts-file
Zde,
-w – přejděte na soubor (použijte úplnou cestu), který chcete sledovat/audit.
-p – nastavte oprávnění pro audit, r pro čtení, w pro zápis, x pro provádění, a pro připojení.
-k – klíčové slovo pro zaznamenání auditních informací.
4. Umožňuje ověřit, zda je pravidlo auditu správně nastaveno. Přečtěte si a zapište nový záznam do souboru /etc/hosts a poté zkontrolujte informace o auditu v /var/log/messages
# vi /etc/hosts
# ausearch -i -f /etc/hosts ..... type=PATH msg=audit(05/22/08 18:24:01.071:83) : name=/etc/hosts flags=follow,open inode=4313009 dev=08:05 mode=file,644 ouid=root ogid=root rdev=00:00 type=FS_INODE msg=audit(05/22/08 18:24:01.071:83) : inode=4313009 inode_uid=root inode_gid=root inode_dev=08:05 inode_rdev=00:00 type=FS_WATCH msg=audit(05/22/08 18:24:01.071:83) : watch_inode=4313009 watch=hosts filterkey=testhost perm=read,write,append perm_mask=read ....Jak identifikovat uživatele při mazání souborů z daného adresáře v Linuxu