1. Dom
  2. Pytanie i odpowiedź
  3. Auditd - reguła inspekcji do monitorowania tylko katalogu (nie wszystkie podkatalogi i pliki itp.)

Auditd - reguła inspekcji do monitorowania tylko katalogu (nie wszystkie podkatalogi i pliki itp.)

2013-09-26 13 views
6

Próbuję użyć auditd do monitorowania zmian w katalogu. Problem polega na tym, że kiedy ustawiam regułę, monitoruje katalog określony przeze mnie, ale także cały katalog i pliki czyniąc monitor bezużytecznym z powodu nieskończonej gadatliwości.Auditd - reguła inspekcji do monitorowania tylko katalogu (nie wszystkie podkatalogi i pliki itp.)

Oto konfiguracja Zasada I:

auditctl -w /home/raven/public_html -p war -k raven-pubhtmlwatch

podczas wyszukiwania dzienniki pomocą

ausearch -k raven-pubhtmlwatch

mam tysiące linie dzienników lista Wszystko pod public_html/

Jak można Ograniczam regułę tylko do zmian w określonym katalogu?

Dziękuję bardzo.

Źródło

2013-09-26 superuseroi

+1

poprosił również tutaj: http://superuser.com/q/650714/4714 –

+0

To pytanie wydaje się być nie na temat, bo pytanie/odpowiedź na SuperUser - http://superuser.com/questions/650714/auditd-auditctl-rule-to-monitor-dir-only-not-all-sub-dir-and-files-etc – Taryn

+0

@bluefeet w momencie zadawania tego pytania nie byłem pewien, gdzie najlepiej to opublikować. Jeśli uważasz, że jest to po prostu zbędne i nie jest przydatne dla innych użytkowników, którzy tego szukają, usuń go. Proszę również podać mi wszelkie sugestie na przyszłość. Dziękuję Ci! – superuseroi

Odpowiedz

11

Zegarek jest tak naprawdę regułą syscall w przebraniu. Jeśli miejsce zegarek na katalogu , auditctl będzie przekształcić go: pole reż

-a exit,always -F dir=/home/raven/public_html -F perm=war -F key=raven-pubhtmlwatch

-f jest rekurencyjny. Jeśli jednak chcesz po prostu obejrzeć wpisy w katalogu , możesz zmienić je na -F.

-a exit,always -F path=/home/raven/public_html -F perm=war -F key=raven-pubhtmlwatch

To nie jest rekurencyjne i po prostu obserwuje i-węzeł, który zajmuje katalog.

musiałem dodać regułę ręcznie w: /etc/audit/audit.rules

następnie ponownie auditd użyciu

/etc/init.d/auditd restart

teraz zasady są dodawane i działa świetnie! Wszystko zasługa Steve'a @ RedHat, który odpowiedział na moje pytanie w liście dyskusyjnej Audyt: https://www.redhat.com/archives/linux-audit/2013-September/msg00057.html

Źródło

2013-09-26 23:41:05 superuseroi

+0

Musiałem użyć tej genialnej rzeczy 'auditctl' na serwerze produkcyjnym. Obawiam się, że może to wpłynąć na wydajność. Czy wystarczy "auditctl -D", aby usunąć wszystkie reguły, czy też muszę je odinstalować lub dezaktywować w jakikolwiek sposób? Czy wiesz? Dzięki! – pgr

+0

Jaki rodzaj zegarka generuje podaną regułę syscall? tj. mam regułę, która po prostu obserwuje zmiany atrybutów, tzn. ma przełącznik '-p a'. Jaka zasada systemowa spowodowałaby. Ponadto, nie syscall zasady muszą używać przełącznika '-S', aby określić, która syscall oglądać? – Andrew

+0

Nieprawidłowe: jeśli umieścisz zegarek w katalogu bez określania jakichkolwiek uprawnień, domyślnie będzie to warx, a nie wojna. Na marginesie zwróć uwagę, że auditctl z przyjemnością zaakceptuje niepoprawne pliki i katalogi do obejrzenia, o ile nieprawidłową częścią jest liść. Nieprawidłowe ścieżki, które zawiodą wcześniej niż liść, wywołają błąd. – Urhixidur

Powiązane problemy

 Powiązane problemy