GNU/Linux >> Tutoriels Linux >  >> Cent OS

Comment changer le chemin du fichier journal auditd /var/log/audit/audit.log

Une tâche importante liée au dépannage peut résulter d'une compréhension des activités généralement associées à l'action de lecture et d'écriture de fichiers. Linux fournit un utilitaire simple pour cela. Connu sous le nom d'auditd, ce service (ou démon) démarre pendant le processus de démarrage. Les événements sont enregistrés dans un fichier journal associé trouvé dans /var/log/audit et comme il s'exécute en arrière-plan, vous pouvez vérifier l'état actuel du service avec la commande ci-dessous dans le cas du serveur CentOS/RHEL 7 :

# systemctl status auditd

Il est possible de personnaliser le service d'audit et vous pouvez avoir un accès direct pour gérer la taille, l'emplacement et les attributs associés du fichier journal en accédant au fichier suivant avec votre éditeur de texte préféré :

# vi /etc/audit/auditd.conf

Modification de l'emplacement du fichier journal par défaut pour auditd

1. Dans le fichier de configuration auditd /etc/audit/auditd.conf , modifiez l'option log_file =/var/log/audit/audit.log afin qu'elle pointe vers le nouveau chemin, par ex. ex. :

# vi /etc/audit/auditd.conf
log_file = /auditd_logs/audit.log

2. Si SELinux est activé, configurez les étiquettes de contexte de fichier SELinux par défaut pour le nouveau chemin et restaurez les contextes de sécurité en conséquence :

# semanage fcontext -a -e /var/log/audit '/auditd_logs(/.*)?'
restorecon -Rv /auditd_logs

3. Redémarrez le service auditd pour que les modifications prennent effet.

# service auditd restart         # For CentOS 5,6
# systemctl restart auditd       # For CentOS 7

Vérifier

Vous pouvez vérifier le nouveau fichier journal /auditd_logs/audit.log dans lequel les nouveaux journaux auditd sont écrits. À partir de maintenant, lorsque vous utilisez la commande ausearch, ajoutez les commutateurs -if ou –input-logs :

# ausearch -if /auditd_logs/audit.log -m avc -i -ts recent
Comprendre l'audit système avec auditd
Comment utiliser auditd pour surveiller un SYSCALL spécifique
Comment surveiller le montage/démontage des points de montage à l'aide d'Auditd sur CentOS/RHEL 6,7
Comment utiliser auditd pour surveiller une suppression de fichier sous Linux


Cent OS

  1. Quel est un moyen pratique de vérifier ce qui est ajouté à un fichier journal en temps réel ?

  2. Différence entre /var/log/messages, /var/log/syslog et /var/log/kern.log ?

  3. Comment changer l'emplacement par défaut (/var/cache/yum) du cache yum

  4. Comment changer le répertoire de journal par défaut (/var/log) dans Rsyslog pour CentOS/RHEL 6,7

  5. Comment modifier l'autorisation par défaut de /var/log/messages dans CentOS/RHEL

Comment changer le fichier journal Sudo par défaut sous Linux

Comment empêcher /var/log/kern.log.1 de consommer tout l'espace disque ?

Le fichier journal système /var/log/messages est supprimé ou coupé automatiquement (CentOS/RHEL)

Comment tronquer le fichier /var/log/lastlog

Comment lire le journal d'audit sous Linux

syntaxe du fichier de configuration logrotate - plusieurs entrées génériques possibles ?