audit機能の設定例
このドキュメント (00100024) の最後に記載の 免責条項 に基づき提供されています。
環境
SUSE Linux Enterprise 11
概要
audit機能はデフォルトでは無効になっていますが、この機能を有効にすることで、例えば、何時、どのユーザが、どのコマンドを実行したかを監視することが可能となります。
解決策
以下は、/work/aaaファイルを監視対象とし、このファイルをopenしたユーザを特定したい場合の設定例になります。
- audit機能の有効確認
# auditctl -s
enabled=1 有効
enabled=0 無効
※audit機能はOSを再起動すると無効になります。
恒久的に有効にすることはできませんので、OS再起動の都度、audit機能を有効にします。
- audit機能を有効
# auditctl -e 1
- ルール設定
# auditctl -a exit,always -F path=/work/aaa -F success=1 -F arch=b64 -S open
ルール設定の確認
# auditctl -l
LIST_RULES: exit,always watch=/work/aaa success=1 (0x1) arch=3221225534 (0xc000003e) syscall=open
OSを再起動するとルール設定が解除されますので、再起動してもルール設定を残したい場合は、audit.rulesにルールを追加します。
# vi /etc/audit/audit.rules
-a exit,always -F path=/work/aaa -F success=1 -F arch=b64 -S open
- auditログ確認方法
例)その日に情報取得する場合
# ausearch -l -i -ts today > /tmp/audit_work.log
参考:
SUSE Linux Enterprise Server 11 SP4 Security Guide
Chapter 31. Understanding Linux Audit
https://www.suse.com/documentation/sles11/singlehtml/book_security/book_security.html#cha.audit.comp
免責条項
このサポート ナレッジベースは、NetIQ/Novell/SUSE顧客、および弊社製品およびそのソリューションに関心のあるパーティへ、情報やアイデアの取得およびそれらの知識を得る為の有効なツールを提供します。 本文書の商品性、および特定目的への適合性について、いかなる黙示の保証も否認し、排除します。
- ドキュメント ID:00100024
- 作成年月日:04-DEC-15
- 修正年月日:04-DEC-15
-
- SUSESUSE Linux Enterprise 11
このドキュメントはあなたの問題を解決しましたか? フィードバックを送る