我的系统中有以下配置
OS : ubuntu 14.04
Kernel version : 3.13.0-32-generic
我的audit.rules文件中有以下规则。
-w /etc/ -p wa -k system_configuration_change
-w /usr/bin -p wa -k system_binary_change
-w /usr/sbin -p wa -k system_binary_change
-w /bin/ -p wa -k system_binary_change
现在如果我在目录中创建一个文件/etc/,
touch myfile
chmod 666 myfile
echo "Something!!!" > myfile
这里我触发了 3 个事件,但audit无法捕捉到将内容写入文件的最后一个事件。
$ egrep --only-matching 'node=.*$' /log-collector/audit.log | ausearch -f myfile -ui 0 -c touch
这是预期的输出,但是
$ egrep --only-matching 'node=.*$' /log-collector/audit.log | ausearch -f myfile -ui 0 -c chmod
这是预期的输出,但是
$egrep --only-matching 'node=.*$' /log-collector/audit.log | ausearch -f myfile -ui 0 -c bash
无匹配
同样的命令在Ubuntu 12.04内核版本为3.2.0-76-generic。
我在这里尝试更改内核,但它说 3.2.0-76-generic 与以下版本不兼容Ubuntu 14.04根据https://wiki.ubuntu.com/Kernel/LTSEnablementStack。
请帮帮我。
问候,BhavaniPrasad