Une tâche importante liée au dépannage peut résulter d'une compréhension des activités généralement associées à l'action de lecture et d'écriture de fichiers. Linux fournit un utilitaire simple pour cela. Connu sous le nom d'auditd, ce service (ou démon) démarre pendant le processus de démarrage. Les événements sont enregistrés dans un fichier journal associé trouvé dans /var/log/audit et comme il s'exécute en arrière-plan, vous pouvez vérifier l'état actuel du service avec la commande ci-dessous dans le cas du serveur CentOS/RHEL 7 :
# systemctl status auditd
Il est possible de personnaliser le service d'audit et vous pouvez avoir un accès direct pour gérer la taille, l'emplacement et les attributs associés du fichier journal en accédant au fichier suivant avec votre éditeur de texte préféré :
# vi /etc/audit/auditd.conf
Modification de l'emplacement du fichier journal par défaut pour auditd
1. Dans le fichier de configuration auditd /etc/audit/auditd.conf , modifiez l'option log_file =/var/log/audit/audit.log afin qu'elle pointe vers le nouveau chemin, par ex. ex. :
# vi /etc/audit/auditd.conf log_file = /auditd_logs/audit.log
2. Si SELinux est activé, configurez les étiquettes de contexte de fichier SELinux par défaut pour le nouveau chemin et restaurez les contextes de sécurité en conséquence :
# semanage fcontext -a -e /var/log/audit '/auditd_logs(/.*)?' restorecon -Rv /auditd_logs
3. Redémarrez le service auditd pour que les modifications prennent effet.
# service auditd restart # For CentOS 5,6 # systemctl restart auditd # For CentOS 7
Vérifier
Vous pouvez vérifier le nouveau fichier journal /auditd_logs/audit.log dans lequel les nouveaux journaux auditd sont écrits. À partir de maintenant, lorsque vous utilisez la commande ausearch, ajoutez les commutateurs -if ou –input-logs :
# ausearch -if /auditd_logs/audit.log -m avc -i -ts recentComprendre l'audit système avec auditd
Comment utiliser auditd pour surveiller un SYSCALL spécifique
Comment surveiller le montage/démontage des points de montage à l'aide d'Auditd sur CentOS/RHEL 6,7
Comment utiliser auditd pour surveiller une suppression de fichier sous Linux