Auditd est le composant d'espace utilisateur du système d'audit Linux. Il est responsable de l'écriture des enregistrements d'audit sur le disque. La visualisation des logs se fait avec le ausearch ou aureport utilitaires. La configuration des règles d'audit s'effectue avec l'utilitaire auditctl. Au démarrage, les règles dans /etc/audit/rules.d/audit.rules sont lus par auditctl. Le démon d'audit lui-même dispose de certaines options de configuration que l'administrateur peut souhaiter personnaliser. Ils se trouvent dans le fichier /etc/audit/rules.d/auditd.conf fichier.
Sur CentOS/RHEL 6, le fichier de configuration est /etc/audit/audit.rules au lieu de /etc/audit/rules.d/audit.rules.Cet article décrira les étapes pour permettre au service auditd du système d'exploitation Linux de suivre les événements de fichiers tels que l'exécution, la lecture, l'écriture, etc. Par exemple, si vous souhaitez suivre le fichier /etc/hosts, suivez les étapes décrites ci-dessous.
1. Vérifiez que le service auditd est démarré.
# service auditd status auditd (pid 2311) is running...
2. S'il n'est pas en cours d'exécution, démarrez-le :
# service auditd start
3. exécutez la commande auditctl pour commencer à auditer le fichier /etc/hosts. La syntaxe est la suivante :
# auditctl -w /etc/hosts -p war -k hosts-file
Ici,
-w – pointez vers un fichier (utilisez le chemin complet) à surveiller/auditer.
-p – définir l'autorisation d'audit, r pour lire, w pour écrire, x pour exécuter, a pour ajouter.
-k – un mot clé pour enregistrer les informations d'audit.
4. Vérifions si la règle d'audit est correctement définie. Lisez et écrivez une nouvelle entrée dans le fichier /etc/hosts, puis vérifiez les informations d'audit dans /var/log/messages
# vi /etc/hosts
# ausearch -i -f /etc/hosts ..... type=PATH msg=audit(05/22/08 18:24:01.071:83) : name=/etc/hosts flags=follow,open inode=4313009 dev=08:05 mode=file,644 ouid=root ogid=root rdev=00:00 type=FS_INODE msg=audit(05/22/08 18:24:01.071:83) : inode=4313009 inode_uid=root inode_gid=root inode_dev=08:05 inode_rdev=00:00 type=FS_WATCH msg=audit(05/22/08 18:24:01.071:83) : watch_inode=4313009 watch=hosts filterkey=testhost perm=read,write,append perm_mask=read ....Comment identifier l'utilisateur qui supprime des fichiers d'un répertoire donné sous Linux