[1] Auditd – Instalacja
6 marca 2022Skonfiguruj audyt systemu przez Auditd.
Możliwe jest monitorowanie wywołań systemowych, zdarzeń bezpieczeństwa, dostępu do plików, wykonywania poleceń i tak dalej.
[1] Pakiet audytu jest instalowany domyślnie, nawet przy minimalnej instalacji CentOS Stream 8, ale jeśli nie, zainstaluj go w następujący sposób.
[root@vlsr01 ~]# dnf install audit [root@vlsr01 ~]# systemctl enable --now auditd
[2] Zalecam zmianę niektórych wartości w pliku konfiguracyjnym auditd.conf.
[root@vlsr01 ~]# mcedit /etc/audit/auditd.conf # linia 7: lokalizacja logów log_file = /var/log/audit/audit.log # linia 12: maksymalna wielkość pliku logow (MegaBytes) max_log_file = 8 # linia 13: liczba plików logów [max_log_file_action=ROTATE] num_logs = 5 # linia 15: nazwa hosta w pliku logow # możliwe wartości: NONE, HOSTNAME, FQD, NUMERIC, USER name_format = NONE # linia 16: nazwa hosta jaka chcesz jeśli [name_format=USER] ##name = mydomain # linia 17: akcja, gdy plik loga przekroczy rozmiar # możliwe wartości: IGNORE, SYSLOG, SUSPEND, ROTATE, KEEP_LOGS max_log_file_action = ROTATE