audit の履歴(No.6)

• 履歴一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• audit へ行く。
  • 1 (2025-07-29 (火) 13:14:16)
  • 2 (2025-07-29 (火) 13:16:56)
  • 3 (2025-07-29 (火) 13:17:08)
  • 4 (2025-07-29 (火) 13:17:24)
  • 5 (2025-07-29 (火) 13:17:32)
  • 6 (2025-07-29 (火) 13:22:09)
  • 7 (2025-07-29 (火) 13:22:24)
  • 8 (2025-07-29 (火) 13:23:57)
  • 9 (2025-07-29 (火) 13:24:11)
  • 10 (2025-07-29 (火) 13:25:25)

audit[edit]

• デーモン auditd

コマンド監視[edit]

設定ファイル（ルールファイル）[edit]

• /etc/audit/rules.d/audit.rules

  # すべての旧ルール削除  
  -D
  
  # バッファ増加  
  -b 8192
  
  # イベント待機時間60秒（バースト対策）
  --backlog_wait_time 60000
  
  # 失敗時にsyslogに通知  
  -f 1
  
  # 新しいルールの設定
  -a always,exit -F arch=b64 -S execve -k exec_log  # for 64bit system call
  -a always,exit -F arch=b32 -S execve -k exec_log  # for 32bit system call

ルールの更新[edit]

restart の失敗[edit]

• Failed to restart auditd.service: Operation refused, unit auditd.service may be requested by dependency only (it is configured to refuse manual start/stop).
  • 手動でのリスタートが禁止されている（セキュリティ上の問題）

    augenrules --load

ルール確認[edit]

• auditctl -l