我将以下几行添加到 /etc/audit/audit.rules 文件中并重新启动计算机:
-w /etc/group -p wa -k identity
-w /etc/passwd -p wa -k identity
-w /etc/gshadow -p wa -k identity
-w /etc/shadow -p wa -k identity
-w /etc/security/opasswd -p wa -k identity
使用 useradd 命令从 CLI 创建用户会记录以下审核消息:
Sep 28 15:44:09 HK-CentOS-7 useradd[4065] : new user: name= test1, UID= 38263, GID= 38263, home= / home/test1, shell= / bin/ bash
从 GUI 创建用户不会输出与上面相同的用户信息,它仅提到 /etc/passwd 文件已写入。我是否需要配置任何其他设置才能从 GUI 用户创建中生成更多信息?我想确切地知道创建了什么用户。
答案1
我想答案就在这里。 Yast2将能够过滤journald日志17.6 使用 YaST 过滤 systemd 日志