我使用以下配置启用了auditd服务来跟踪RedHat操作系统上的所有用户活动(属于组ID 555):
vim /etc/audit/audit.rules
-a always,exit -F gid=555 -F arch=b64 -S execve
-a always,exit -F gid=555 -F arch=b32 -S execve
vim /etc/audisp/plugins.d/syslog.conf
active = yes
args = LOG_LOCAL6
vim /etc/rsyslog.conf
local6.* @@<IP address>
然而,对于每个执行的命令,都会生成多个日志(通常是 3 个日志),并且不存在包含所有必要信息的唯一日志,即:
- 命令
- 用户名
- 时间戳
- 服务器IP
- 源IP
是否可以配置auditd为每个执行的命令只写入/转发一个日志?例如,如果用户富巴runs rm -f /root/test.txt,写入/转发的日志应该是这样的:
2017-05-10 10:14 <SourceIP> foobar@<DestinationIP> rm -f /root/test.txt
谢谢,弗朗西斯科