1)确认auditd服务已经启动。
systemctl status auditd
2)编辑auditd规则配置文件/etc/audit/rules.d/audit.rules,配置需要监控的文件和行为。
-w /data -p wa -k data_files_change
选项说明:
-w 监控目录,上例中是/data
-p 监控写w和属性更改a行为
-k 定义标识事件的关键字为data_files_change
3)更改配置文件/etc/audit/auditd.conf,设置审计日志文件的存放路径。默认情况下,记录会保存在/var/log/audit/audit.log文件中。由于审计日志的数量非常多,日志文件会变得非常大,建议放在单独的文件系统下,并且进行定时清理。
log_file = /var/log/audit/audit.log
4)重启服务让审计规则和审计日志文件的新路径生效。
service auditd restart
5)显示当前生效的审计规则。
auditctl -l
注:如果规则仍然没生效,则可能需要reboot系统。
6)规则生效后,所有针对该目录下的文件更改操作都会记录到审计日志中。可以使用ausearch工具来查询特定的审计记录:
ausearch -k data_files_change