13.8. 将 USBguard 授权事件记录到 Linux 审计日志中
使用以下步骤将 USBguard 授权事件记录集成到标准的 Linux 审计日志中。默认情况下,usbguard
守护进程将事件记录到 /var/log/usbguard/usbguard-audit.log
文件中。
先决条件
-
usbguard
服务已安装并运行。 -
auditd
服务正在运行。
流程
使用您选择的文本编辑器编辑
usbguard-daemon.conf
文件:# vi /etc/usbguard/usbguard-daemon.conf
将
AuditBackend
选项从FileAudit
改为LinuxAudit
:AuditBackend=LinuxAudit
重启
usbguard
守护进程以应用配置更改:# systemctl restart usbguard
验证
查询 USB 授权事件的
audit
守护进程日志,例如:# ausearch -ts recent -m USER_DEVICE
其它资源
-
您系统上的
usbguard-daemon.conf (5)
手册页