审核配置

审核配置

auditd我正在尝试在 Ubuntu 12.04.5 上设置文件系统审核。我有一个正在导出的文件系统,称之为/exports/data,我需要对其进行审核。我制定了以下规则:

LIST_RULES: exit,always dir=/exports/data (0x14) perm=wa

每当我在 NFS 服务器上的该目录中执行任何操作时,都会正常记录审核事件。每当我在 NFS 客户端上执行任何操作时,都不会记录任何内容。我需要制定什么规则/需要监视系统调用来审核 NFS 事件?

答案1

子系统auditd监视系统调用,并且 NFS 客户端在各自的主机上进行系统调用。 (因此auditd无法检测除自身之外的主机上的系统调用。)

要监视客户端的事件,请auditd在远程主机上进行配置。使用audisp-remote这些主机上的插件将审核相关消息发送到使用audispdsyslog 插件的中央日志记录主机。然后审核日志将在一个聚合位置可用。

从手册上audisp-remote

audisp-remote 是审计事件调度程序守护程序 audispd 的插件,它可以将远程日志记录到聚合日志服务器。

相关内容