auditdUbuntu 12.04.5でファイルシステム監査を設定しようとしています。エクスポートするファイルシステムがあります。これを監査する必要があり/exports/dataます。私は次のルールを作成しました。
LIST_RULES: exit,always dir=/exports/data (0x14) perm=wa
NFSサーバー上の対応するディレクトリで操作を実行するたびに、監査イベントは正常に記録されます。 NFSクライアントで何かをするたびに何も記録されません。 NFSイベントを監査するためにシステムコールを作成/監視するにはどのようなルールが必要ですか?
答え1
サブシステムはauditdシステムコールを監視し、NFS クライアントはそのホストでシステムコールを実行します。 (したがって、auditd自分ではないホストのシステムコールを検出できません。)
クライアント側でイベントを監視するには、auditdリモートホストで設定します。audisp-remoteこれらのホストでプラグインを使用すると、audispdsyslogプラグインを介してセントラルログホストに監査関連メッセージを送信できます。これにより、監査ログを集約された場所で使用できます。
マニュアルからaudisp-remote:
audisp-remoteは、集約されたログサーバーへのリモートロギングを有効にする監査イベントスケジューラデーモンaudispd用のプラグインです。