手順・設定方法
ステップ1: auditdのインストールと初期設定
# auditdがインストールされているか確認
$ rpm -q auditd # RedHat/CentOSの場合
# auditdがインストールされていない場合、インストールする
$ sudo yum install -y audit # RedHat/CentOS
# Debian/Ubuntuの場合のインストール方法
$ sudo apt-get update
$ sudo apt-get install -y auditd
ステップ2: ルールの追加と設定
# /etc/audit/audit.rulesにルールを追加します。必要な操作だけを監視するため、最小限のルールだけを使用します。
$ echo "-a always,exit -F arch=b64 -S execve -k execve_all" | sudo tee -a /etc/audit/audit.rules
ステップ3: auditdサービスの再起動
# auditdサービスを再起動して変更を適用します。
$ sudo systemctl restart auditd
$ sudo service auditd restart # RedHat/CentOSの場合
# ログファイルの場所とサイズ制限を確認する
$ cat /etc/audit/auditctl.conf | grep -i log_file
$ cat /etc/audit/auditd.conf | grep -i max_log_file_size
ステップ4: 操作ログの監視とトラブルシュート
# 最新の操作ログを表示します。
$ sudo ausearch -ts recent # 最後に実行されたイベントを表示
$ sudo aureport --success --failure # 成功と失敗のレポートを生成
# ログファイルの内容を確認する
$ sudo less /var/log/audit/audit.log
Post Views: 2
