我想跟踪普通用户是否尝试运行服务。启动/停止服务的命令如下:
service filebeat start
我编写了如下审计规则:
-w /usr/sbin/service -p warx -k service_attempt
每次我启动/停止服务时,它都会记录标签(service_attempt),但审核不会失败。因此,我无法区分启动/停止服务的成功尝试和失败尝试。
答案1
我对你的问题有点困惑,因为/var/log/auth.log未经许可的用户已经记录拒绝服务停止/启动。
如果您只想查看与服务相关的事件和仅失败的尝试,您可以运行
$sudo cat /var/log/auth.log | grep service | grep FAILED
这是我刚刚创建的没有 sudo 的 basicuser 的示例输出,然后尝试运行service alsa-state restart.输出告诉您可能需要知道的所有信息,我将重要部分(日期、会话、失败、服务名称、用户名)以粗体显示
foot@BOOT:~# cat /var/log/auth.log | grep service | grep FAILED
3 月 1 日 21:13:24BOOT polkitd(authority=local): unix- 的操作符会话:6 失败进行身份验证以获得对 system-bus-name::1.255 的操作 org.freedesktop.systemd1.manage-units 的授权systemctl 启动 alsa-state.service](拥有者unix-用户:basicuser)
auth.log 文件将告诉您需要了解的有关授权失败的所有信息,包括服务和登录尝试。