GNU/Linux >> Linux Esercitazione >  >> Cent OS

Come modificare il percorso del file di registro auditd /var/log/audit/audit.log

Un compito importante relativo alla risoluzione dei problemi può derivare dalla comprensione delle attività comunemente associate all'azione di lettura e scrittura di file. Linux fornisce una semplice utility per questo. Conosciuto come auditd, questo servizio (o demone) viene avviato durante il processo di avvio. Gli eventi vengono registrati in un file di registro associato che si trova in /var/log/audit e mentre viene eseguito in background, puoi controllare lo stato del servizio corrente con il comando seguente in caso di server CentOS/RHEL 7:

# systemctl status auditd

È possibile personalizzare il servizio di auditing e si può avere accesso diretto per gestire la dimensione del file di registro, la posizione e gli attributi associati accedendo al seguente file con il proprio editor di testo preferito:

# vi /etc/audit/auditd.conf

Modifica del percorso del file di registro predefinito per auditd

1. Nel file di configurazione auditd /etc/audit/auditd.conf , modificare l'opzione log_file =/var/log/audit/audit.log in modo che punti al nuovo percorso, ad es. g.:

# vi /etc/audit/auditd.conf
log_file = /auditd_logs/audit.log

2. Se hai SELinux abilitato, configura le etichette di contesto del file SELinux predefinite per il nuovo percorso e ripristina i contesti di sicurezza di conseguenza:

# semanage fcontext -a -e /var/log/audit '/auditd_logs(/.*)?'
restorecon -Rv /auditd_logs

3. Riavvia il servizio auditd per rendere effettive le modifiche.

# service auditd restart         # For CentOS 5,6
# systemctl restart auditd       # For CentOS 7

Verifica

È possibile controllare il nuovo file di registro /auditd_logs/audit.log in cui vengono scritti i nuovi registri di auditd. Inoltre, d'ora in poi, quando usi il comando ausearch, aggiungi le opzioni -if o –input-logs:

# ausearch -if /auditd_logs/audit.log -m avc -i -ts recent
Comprensione dell'audit del sistema con auditd
Come utilizzare auditd per monitorare un SYSCALL specifico
Come monitorare il montaggio/smontaggio dei punti di montaggio utilizzando Auditd su CentOS/RHEL 6,7
Come utilizzare auditd per monitorare l'eliminazione di un file in Linux


Cent OS

  1. 20 File di registro Linux che si trovano nella directory /var/log

  2. Come modificare le autorizzazioni predefinite sul file /var/log/audit/audit.log in CentOS/RHEL

  3. I messaggi Auditd si stanno riempiendo /var/log/messages

  4. Come modificare il percorso del registro di controllo in MySQL Docker

  5. CentOS / RHEL:come ruotare i file /var/log/wtmp e /var/log/btmp usando logrotate

Come modificare il file di registro di Sudo predefinito in Linux

In che modo Linux gestisce più separatori di percorsi consecutivi (/home////nomeutente///file)?

Come impedire a /var/log/kern.log.1 di consumare tutto lo spazio su disco?

Registro di controllo e file dei messaggi che non ruotano su CentOS/RHEL

Il file di registro di sistema /var/log/messages viene eliminato o tagliato automaticamente (CentOS/RHEL)

Come leggere il registro di controllo in Linux