auditd我正在尝试在 Ubuntu 12.04.5 上设置文件系统审核。我有一个正在导出的文件系统,称之为/exports/data,我需要对其进行审核。我制定了以下规则:
LIST_RULES: exit,always dir=/exports/data (0x14) perm=wa
每当我在 NFS 服务器上的该目录中执行任何操作时,都会正常记录审核事件。每当我在 NFS 客户端上执行任何操作时,都不会记录任何内容。我需要制定什么规则/需要监视系统调用来审核 NFS 事件?
答案1
子系统auditd监视系统调用,并且 NFS 客户端在各自的主机上进行系统调用。 (因此auditd无法检测除自身之外的主机上的系统调用。)
要监视客户端的事件,请auditd在远程主机上进行配置。使用audisp-remote这些主机上的插件将审核相关消息发送到使用audispdsyslog 插件的中央日志记录主机。然后审核日志将在一个聚合位置可用。
从手册上audisp-remote:
audisp-remote 是审计事件调度程序守护程序 audispd 的插件,它可以将远程日志记录到聚合日志服务器。