2013-09-26 4 views
6

Tôi đang cố gắng sử dụng auditd để giám sát các thay đổi đối với một thư mục. Vấn đề là khi tôi thiết lập một quy tắc nó theo dõi các dir tôi chỉ định mà còn tất cả các thư mục phụ và các tập tin làm cho màn hình vô ích do verbosity vô tận.Quy tắc Auditd - auditctl chỉ giám sát thư mục (không phải tất cả thư mục phụ và tệp, v.v.)

Đây là thiết lập quy tắc I:

auditctl -w /home/raven/public_html -p war -k raven-pubhtmlwatch 

khi tôi tìm kiếm các bản ghi sử dụng

ausearch -k raven-pubhtmlwatch 

tôi nhận được hàng ngàn dòng bản ghi đó liệt kê tất cả mọi thứ dưới public_html/

thế nào có thể Tôi giới hạn quy tắc cho những thay đổi trên thư mục được chỉ định?

Cảm ơn bạn rất nhiều.

+1

cũng yêu cầu ở đây: http://superuser.com/q/650714/4714 –

+0

Câu hỏi này dường như là off-topic vì nó đã được hỏi/trả lời trên SuperUser - http://superuser.com/questions/650714/auditd-auditctl-rule-to-monitor-dir-only-not-all-sub-dir-and-files-etc – Taryn

+0

@bluefeet tại thời điểm đặt câu hỏi này, tôi không biết chắc nên đăng bài nào ở đâu. Nếu bạn cảm thấy điều này chỉ là dư thừa và không hữu ích cho những người dùng khác đang tìm kiếm điều này, thì hãy xóa nó đi. Xin vui lòng cho tôi biết bất kỳ gợi ý nào cho tương lai. Cảm ơn bạn! – superuseroi

Trả lời

11

Đồng hồ thực sự là quy tắc syscall trong ngụy trang. Nếu bạn đặt đồng hồ trên một thư mục , auditctl sẽ biến nó thành:

-a exit,always -F dir=/home/raven/public_html -F perm=war -F key=raven-pubhtmlwatch 

Trường -F dir đệ quy. Tuy nhiên, nếu bạn chỉ muốn xem thư mục mục nhập, bạn có thể thay đổi điều đó thành đường dẫn -F.

-a exit,always -F path=/home/raven/public_html -F perm=war -F key=raven-pubhtmlwatch 

Đây không phải là đệ quy và chỉ xem inode mà thư mục chiếm.

tôi đã có thêm sự cai trị bằng tay trong: /etc/audit/audit.rules

sau đó khởi động auditd sử dụng

/etc/init.d/auditd restart 

nay là quy tắc được thêm vào và nó hoạt động tuyệt vời! Tất cả tín dụng đi vào Steve @ redhat người đã trả lời câu hỏi của tôi trong danh sách kiểm toán chỉ gửi thư: https://www.redhat.com/archives/linux-audit/2013-September/msg00057.html

+0

Tôi đã phải sử dụng điều này 'auditctl' rực rỡ trong một máy chủ sản xuất. Bây giờ tôi lo lắng rằng nó có thể ảnh hưởng đến hiệu suất. Có đủ để làm 'auditctl -D' để loại bỏ tất cả các quy tắc, hoặc tôi cần phải gỡ bỏ nó hoặc tắt nó theo bất kỳ cách nào? Bạn có biết? Cảm ơn! – pgr

+0

Loại đồng hồ nào tạo ra quy tắc syscall bạn cung cấp? tức là, tôi có một quy tắc chỉ cần theo dõi các thay đổi thuộc tính, tức là nó có công tắc '-p a'. Quy tắc syscall nào tạo ra. Ngoài ra, không phải quy tắc syscall cần sử dụng công tắc '-S' để chỉ định syscall nào cần xem? – Andrew

+0

Không hoàn toàn chính xác: nếu bạn đặt đồng hồ trên thư mục mà không chỉ định bất kỳ quyền nào, mặc định sẽ là warx, không phải chiến tranh. Là một sang một bên, lưu ý rằng auditctl sẽ vui vẻ chấp nhận các tập tin và thư mục không hợp lệ để xem, miễn là phần không hợp lệ là lá. Đường dẫn không hợp lệ không sớm hơn lá sẽ gây ra lỗi. – Urhixidur

Các vấn đề liên quan