監査を使用してファイルへのアクセスを監視したいので、次のルールを追加しました。
-w /home/test.txt -k monitoring-test
ルール(sudo service auditd restart
)を再ロードしてファイルを変更しましたが、/home/test.txt
ログにはそのキーを使用するイベントは生成されません。sudo ausearch -k monitoring-test
追加されたルールのイベントのみが返されます。
time->Fri May 5 13:32:19 2023 type=CONFIG_CHANGE msg=audit(1682311231.581:1719): auid=1000 ses=3 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 op=add_rule key="monitoring-test" list=4 res=1
奇妙なことは、このようにネットワーク監視ルールを追加した場合
-a 常に、終了 -F Arch=b64 -S 受け入れ、接続 -F キー=ネットワーク外部アクセス
そのキーを含むログメッセージを受信しました。
私は同じ多くの投稿を読んだ。このチュートリアルまたは赤い帽子のポストしかし、彼らの解決策のどれも私の問題を解決しませんでした。編集したファイルのログが受信されない理由を知っている人はいますか?
カーネルには次のフラグがあります。
sudo grep CONFIG_AUDIT /boot/config-
uname -r
CONFIG_AUDIT=y
CONFIG_AUDITSYSCALL=y
CONFIG_AUDIT_ARCH=y
CONFIG_AUDIT_WATCH = yが見つからない問題はありますか?ここに答えてください?
記録のために、私の/etc/audit/audit.rulesは次のようになります(上記のファイル監視ルールを永久に追加した後)。
## This file is automatically generated from /etc/audit/rules.d
-D
-a task,never
-w /home/test.txt -k monitoring-test
そしてsudo auditctl -l
戻ってくる
-a never,task
-w /home/test.txt -p rwxa -k monitoring-test
私のオペレーティングシステムはFedoraで、レビューバージョンは3.1-2です。
答え1
~からauditctl
マニュアルページ:
デフォルトでは無効
多くのシステムでは、デフォルト
auditd
設定は-a never,task
ルールをインストールすることです。このルールを使用すると、各新しいプロセスはすべての監査ルールの処理をスキップします。これは通常、システムコール監査に付属する小さなパフォーマンスオーバーヘッドを避けるために行われます。これを使用するには、ルールを削除して監査ルールディレクトリに追加してauditd
ルールを削除する必要があります。10-no-audit.rules
10-base-config.rules
定義した監査ルールが一致する必要がある場合に一致しない場合は、ルールがないことを
auditctl -l
確認してくださいnever,task
。
これは、イベントが最初の一致ルールで発生するためです。
最初のルールを削除します-a never,task
。