うまいぼうぶろぐ

linuxとhttpdとperlのメモ

linuxのauditメモ

ref.

man

  • man auditd
  • man auditd.conf
  • man auditctl

audit = 監査。
auditdはカーネルに対するシステムコールの監査ログを取る。
auditデーモンはカーネルの一部として動いている?

SELinuxと連携してポリシー違反のログを取ったり。
SELinuxがenableのときに、やたらとauditdのログが出るのはこのため。

logfile

  • /var/log/audit/audit.log
  • /var/log/messages

config file

  • /etc/audit/auditd.conf
  • /etc/audit/audit.rules

audit.rulesの設定

auditctlのヘルプ参照。

  • ex) /path/to/fileへのアクセスを監査する

-w /path/to/file

※ RHEL3は/varを使い切るぐらいにログが溜まるらしい。バグ?