我对 RedHat entririse linux 审核规则感到困惑。 audit.rules 包含以下内容
# This file contains the auditctl rules that are loaded
# whenever the audit daemon is started via the initscripts.
# The rules are simply the parameters that would be passed
# to auditctl.
# First rule - delete all
-D
# Increase the buffers to survive stress events.
# Make this bigger for busy systems
-b 320
# Feel free to add below this line. See auditctl man page
从文档中 -D 表示:
deletes all currently loaded Audit rules, for example:
那么上面的audit.rules会生成什么呢? audit.log 里面会有什么样的信息?我如何知道正在监控什么?我对这条规则的最初理解是,一旦重新启动完成,它将删除所有以前审核的操作,但之后实际审核的是什么?
非常感谢你的澄清
答案1
默认情况下,没有审核规则。该文件作为编写您自己的规则的基础而存在。没有任何规则对所有系统都有用,因此该发行版没有附带规则。您需要记录的内容取决于您使用系统的目的以及您想了解系统的内容。
该文件首先擦除现有规则,以便您可以在正在运行的系统上重新启动审核服务,然后您将进入已知状态,而与之前存在的规则无关。
请注意,通常规则写在/etc/audit/rules.d.这使得操作独立的规则集变得更容易,特别是当某些文件来自包或来自 Puppet 或 Ansible 等配置管理软件时。该文件/etc/audit/audit.rules在(重新)启动审核服务之前重新生成。