我正在testing审计规则,我发现审计不logging何时对/ home / app / APP中的任何文件进行了更改我已经检查了/var/log/auth.log和/ var / log /审计/audit.log文件。
我需要什么configuration来logging对/ home / app / APP中的文件所做的任何更新?
我正在手动运行auditd,所以我可以validation是否有任何规则产生错误。
sudo /sbin/auditctl -R /etc/audit/audit.rules No rules enabled 1 failure 1 pid 0 rate_limit 0 backlog_limit 320 lost 4889 backlog 0 backlog_wait_time 15000 这是我的audit.rules文件…
-D -b 320 -a exit,always -F arch=b32 -F euid=0 -S execve -a exit,always -F arch=b64 -F euid=0 -S execve -a exit,always -F arch=b64 -S unlink -S rmdir -S unlinkat -a exit,always -F arch=b64 -S settimeofday -a exit,always -F arch=b64 -S setrlimit -w /etc/group -p wa -w /etc/passwd -p wa -w /etc/shadow -p wa -w /etc/sudoers -p wa -a exit,always -F arch=b64 -F dir=/home/app/APP -F perm=wa