on
it
road
.com
检查确认
我们可以检查新的日志文件 /auditd_logs/audit.log 以获取写入的新审计日志。
同样从现在开始,在使用 ausearch 命令时,添加 -if 或者 -input-logs 开关:
# ausearch -if /auditd_logs/audit.log -m avc -i -ts recent
与故障排除相关的重要任务可以源于对通常与读写文件操作相关的活动的理解。
Linux 为此提供了一个简单的实用程序。
此服务(或者守护程序)称为 auditd,在引导过程中启动。
当它在后台运行时,事件被记录到 /var/log/audit 中的相关日志文件中。
如果我们使用 CentOS/RHEL 7 服务器,可以使用以下命令检查当前服务状态:
# systemctl status auditd
可以自定义审计服务,我们可以通过使用我们喜欢的文本编辑器访问以下文件来直接访问管理日志文件的大小、位置和相关属性:
# vi /etc/audit/auditd.conf
更改 auditd 的默认日志文件位置
- 在 auditd 配置文件 /etc/audit/auditd.conf 中,更改选项 log_file = /var/log/audit/audit.log 使其指向新路径。
# vi /etc/audit/auditd.conf log_file = /auditd_logs/audit.log
- 如果我们启用了 SELinux,请为新路径配置默认 SELinux 文件上下文标签并相应地恢复安全上下文:
# semanage fcontext -a -e /var/log/audit '/auditd_logs(/.*)?' restorecon -Rv /auditd_logs
- 重新启动auditd 服务以使更改生效。
# service auditd restart # For CentOS 5,6 # systemctl restart auditd # For CentOS 7
日期:2020-09-17 00:13:13 来源:oir作者:oir