10.6. Utilização de Auditctl para definir e executar Regras de Auditoria
O sistema de Auditoria opera sobre um conjunto de regras que definem o que é capturado nos arquivos de registro. As regras de auditoria podem ser definidas tanto na linha de comando usando o utilitário auditctl ou no diretório /etc/audit/rules.d/.
O comando auditctl permite controlar a funcionalidade básica do sistema de Auditoria e definir regras que decidem quais eventos de Auditoria são registrados.
Exemplos de regras do sistema de arquivos
Para definir uma regra que registra todos os acessos de escrita e cada mudança de atributo do arquivo
/etc/passwd:# auditctl -w /etc/passwd -p wa -k passwd_changesDefinir uma regra que registra todos os acessos de escrita e todas as mudanças de atributos de todos os arquivos no diretório
/etc/selinux/:# auditctl -w /etc/selinux/ -p wa -k selinux_changes
Exemplos de regras de chamada de sistema
Para definir uma regra que cria uma entrada de registro cada vez que as chamadas ao sistema
adjtimexousettimeofdaysão usadas por um programa, e o sistema usa a arquitetura de 64 bits:# auditctl -a always,exit -F arch=b64 -S adjtimex -S settimeofday -k time_changeDefinir uma regra que cria uma entrada de registro cada vez que um arquivo é excluído ou renomeado por um usuário do sistema cuja ID é 1000 ou maior:
# auditctl -a always,exit -S unlink -S unlinkat -S rename -S renameat -F auid>=1000 -F auid!=4294967295 -k deleteNote que a opção
-F auid!=4294967295é usada para excluir usuários cujo login UID não está definido.
Regras de arquivo executável
Para definir uma regra que registra toda a execução do programa /bin/id, execute o seguinte comando:
# auditctl -a always,exit -F exe=/bin/id -F arch=b64 -S execve -k execution_bin_idRecursos adicionais
-
Consulte a página de manual
audictl(8)para mais informações, dicas de desempenho e exemplos adicionais de uso.
