ref.
man
- man auditd
- man auditd.conf
- man auditctl
audit = 監査。
auditdはカーネルに対するシステムコールの監査ログを取る。
auditデーモンはカーネルの一部として動いている?
SELinuxと連携してポリシー違反のログを取ったり。
SELinuxがenableのときに、やたらとauditdのログが出るのはこのため。
logfile
- /var/log/audit/audit.log
- /var/log/messages
config file
- /etc/audit/auditd.conf
- /etc/audit/audit.rules
audit.rulesの設定
auditctlのヘルプ参照。
- ex) /path/to/fileへのアクセスを監査する
-w /path/to/file
※ RHEL3は/varを使い切るぐらいにログが溜まるらしい。バグ?