Fedoraでは、監査はファイルイベントを記録しません(ただし、ネットワークイベントでは機能します)。

Fedoraでは、監査はファイルイベントを記録しません(ただし、ネットワークイベントでは機能します)。

監査を使用してファイルへのアクセスを監視したいので、次のルールを追加しました。

-w /home/test.txt -k monitoring-test

ルール(sudo service auditd restart)を再ロードしてファイルを変更しましたが、/home/test.txtログにはそのキーを使用するイベントは生成されません。sudo ausearch -k monitoring-test追加されたルールのイベントのみが返されます。

time->Fri May  5 13:32:19 2023 type=CONFIG_CHANGE msg=audit(1682311231.581:1719): auid=1000 ses=3 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 op=add_rule key="monitoring-test" list=4 res=1

奇妙なことは、このようにネットワーク監視ルールを追加した場合

-a 常に、終了 -F Arch=b64 -S 受け入れ、接続 -F キー=ネットワーク外部アクセス

そのキーを含むログメッセージを受信しました。

私は同じ多くの投稿を読んだ。このチュートリアルまたは赤い帽子のポストしかし、彼らの解決策のどれも私の問題を解決しませんでした。編集したファイルのログが受信されない理由を知っている人はいますか?

カーネルには次のフラグがあります。

sudo grep CONFIG_AUDIT /boot/config-uname -r

CONFIG_AUDIT=y
CONFIG_AUDITSYSCALL=y
CONFIG_AUDIT_ARCH=y

CONFIG_AUDIT_WATCH = yが見つからない問題はありますか?ここに答えてください


記録のために、私の/etc/audit/audit.rulesは次のようになります(上記のファイル監視ルールを永久に追加した後)。

 ## This file is automatically generated from /etc/audit/rules.d
 -D
 
 
 -a task,never
 -w /home/test.txt -k monitoring-test

そしてsudo auditctl -l戻ってくる

-a never,task
-w /home/test.txt -p rwxa -k monitoring-test

私のオペレーティングシステムはFedoraで、レビューバージョンは3.1-2です。

答え1

~からauditctlマニュアルページ:

デフォルトでは無効

多くのシステムでは、デフォルトauditd設定は-a never,taskルールをインストールすることです。このルールを使用すると、各新しいプロセスはすべての監査ルールの処理をスキップします。これは通常、システムコール監査に付属する小さなパフォーマンスオーバーヘッドを避けるために行われます。これを使用するには、ルールを削除して監査ルールディレクトリに追加してauditdルールを削除する必要があります。10-no-audit.rules10-base-config.rules

定義した監査ルールが一致する必要がある場合に一致しない場合は、ルールがないことをauditctl -l確認してくださいnever,task

これは、イベントが最初の一致ルールで発生するためです。

最初のルールを削除します-a never,task

関連情報