13.11. 系统事件的审计
维护所有审计事件记录可帮助您建立系统基线、执行故障排除或分析导致特定结果的事件序列。审计系统可以记录许多类型的事件,如系统时间更改、更改为 Mandatory/Discretionary Access Control,以及创建/删除用户或组。
可以使用环境文件来创建规则,然后由 director 注入 /etc/audit/audit.rules
。例如:
resource_registry: OS::TripleO::Services::AuditD: /usr/share/openstack-tripleo-heat-templates/deployment/auditd/auditd-baremetal-puppet.yaml parameter_defaults: AuditdRules: 'Record Events that Modify User/Group Information': content: '-w /etc/group -p wa -k audit_rules_usergroup_modification' order : 1 'Collects System Administrator Actions': content: '-w /etc/sudoers -p wa -k actions' order : 2 'Record Events that Modify the Systems Mandatory Access Controls': content: '-w /etc/selinux/ -p wa -k MAC-policy' order : 3