Tham gia Đăng nhập
Điểm:0
andrew avatar Server

tại sao auditd không theo dõi/báo cáo tệp nhật ký adhoc?

lá cờ in
andrew

Tôi đã thử xem tệp adhoc alert.log bằng auditd, nhưng tôi không biết tại sao nó không hoạt động. Tôi không tìm thấy mục liên quan nào trong tệp auditd.log.

# auditctl -w /tmp/alert1.log -p wa -k cảnh báo
#

# kiểm toánctl -l
-một nhiệm vụ không bao giờ
-a luôn luôn, thoát -F arch=b64 -S adjtimex,settimeofday -F key=time-change
-a luôn,thoát -F arch=b32 -S stime,settimeofday,adjtimex -F key=time-change
-a luôn, thoát -F arch=b64 -S clock_settime -F key=time-change
-a luôn luôn,thoát -F arch=b32 -S clock_settime -F key=time-change
-w /tmp/alert1.log -p wa -k cảnh báo

cảnh báo tiếng vang >> /tmp/alert1.log

Cũng đã cố gắng theo dõi hoạt động của logger với điều này:

-w /bin/logger -p x -k LOGGER_CALL

Nhưng có vẻ như nó chỉ tạo cảnh báo một lần, khi tôi sử dụng lại trình ghi nhật ký, thì cảnh báo trình ghi nhật ký tiếp theo không được xem/ghi lại.

...CHỈNH SỬA Tôi tìm thấy một số hành vi kỳ lạ, Nó chỉ hoạt động khi tôi chỉ sử dụng hai quy tắc này>

-w /usr/bin/logger -p x -k LOGGER_CALL
-w /tmp/alert.log -p wa -k cảnh báo

Nhưng khi tôi cũng sử dụng với các quy tắc khác, thì nó không hoạt động, Một số quy tắc khác có thể ghi đè lên quy tắc của tôi không? Một hành vi lạ khác > Khi tôi vừa dọn dẹp/sửa đổi quy tắc và khởi động lại auditd, nó vẫn không hoạt động, tôi phải khởi động lại toàn bộ máy chủ.

Đây là tất cả các quy tắc, nơi nó không hoạt động bên trong.

-một nhiệm vụ, không bao giờ


-a luôn, thoát -F arch=b64 -S adjtimex -S settimeofday -k thay đổi thời gian


-a luôn,thoát -F arch=b32 -S adjtimex -S settimeofday -S stime -k thay đổi thời gian


-a luôn luôn,thoát -F arch=b64 -S clock_settime -k thay đổi thời gian


-a luôn, thoát -F arch=b32 -S clock_settime -k thay đổi thời gian


-w /etc/localtime -p wa -k thay đổi thời gian


-w /var/log/sudo.log -p wa -k hành động


-w /etc/sudoers -p wa -k phạm vi


-w /etc/sudoers.d/ -p wa -k phạm vi


-w /var/run/utmp -p wa -k phiên


-w /var/log/wtmp -p wa -k đăng nhập


-w /var/log/btmp -p wa -k đăng nhập


-w /var/log/lastlog -p wa -k đăng nhập


-w /var/run/faillock/ -p wa -k đăng nhập


-w /etc/selinux/ -p wa -k Chính sách MAC


-w /usr/share/selinux/ -p wa -k Chính sách MAC


-a luôn, thoát -F arch=b64 -S sethostname -S setdomainname -k system-locale


-a luôn, thoát -F arch=b32 -S sethostname -S setdomainname -k system-locale


-w /etc/issue -p wa -k ngôn ngữ hệ thống


-w /etc/issue.net -p wa -k ngôn ngữ hệ thống


-w /etc/hosts -p wa -k ngôn ngữ hệ thống


-w /etc/sysconfig/network -p wa -k system-locale


-w /etc/sysconfig/network-scripts/ -p wa -k ngôn ngữ hệ thống


-w /etc/group -p wa -k danh tính


-w /etc/passwd -p wa -k danh tính


-w /etc/gshadow -p wa -k danh tính


-w /etc/shadow -p wa -k danh tính


-w /etc/security/opasswd -p wa -k danh tính
-w /usr/bin/logger -p x -k LOGGER_CALL


-w /tmp/alert.log -p wa -k cảnh báo
30
0 + 0
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.