So installieren und konfigurieren Sie den Auditd-Dienst in Rocky Linux 8

Mitglieder-Login

InformationenLinux

Wie Gnome -Desktop Standard wiederh… Sie können Ihre Gnome-Desktop auf die ursprünglichen Einstellungen wiederherzustellen. Bestimmte Dat
Wie MediaMonkey auf Wine installier… Wenn Sie vor kurzem die Umstellung von Windows auf Linux gemacht haben , können Sie feststellen , da
Wege zu einer Boot- SD -Karte für … Viele moderne Laptops --- besonders --- Einmalige Notebooks kommen mit einem CD- oder DVD-Laufwerk ;
Wie DMG in Linux Montieren DMG Dateien sind letztlich nichts anderes als eine Datei, die ein Bild von einem Apple-Computer -Dat

Systeme

HOME

* Computer Wissen >> Systeme >> Linux >> .

So installieren und konfigurieren Sie den Auditd-Dienst in Rocky Linux 8

## Auditd-Dienst installieren

Führen Sie den folgenden Befehl aus, um den auditd-Dienst zu installieren:

„

sudo yum install auditd

„

Audit-Dienst konfigurieren

Sobald der auditd-Dienst installiert ist, können Sie ihn konfigurieren, indem Sie die Datei „/etc/audit/auditd.conf“ bearbeiten.

Audit-Dienst aktivieren

Um den auditd-Dienst zu aktivieren, setzen Sie den Parameter „enabled“ auf „1“.

„

[global]

aktiviert =1

„

Legen Sie den Pfad und die maximale Größe der Audit-Protokolldatei fest

Der Parameter „log_file“ gibt den Pfad zur Audit-Protokolldatei an und der Parameter „max_log_file“ gibt die maximale Größe der Audit-Protokolldatei an.

„

[global]

log_file =/var/log/audit/audit.log

max_log_file =50 MB

„

Überwachungsregeln konfigurieren

Audit-Regeln legen fest, welche Ereignisse vom auditd-Dienst protokolliert werden sollen. Sie können Überwachungsregeln konfigurieren, indem Sie sie zur Datei „/etc/audit/audit.rules“ hinzufügen.

Die folgende Beispielregel protokolliert alle fehlgeschlagenen Anmeldeversuche:

„

-w /var/log/faillog -p wa -k Anmeldungen

„

Audit-Dienst neu starten

Nachdem Sie Änderungen an der auditd-Konfiguration vorgenommen haben, müssen Sie den auditd-Dienst neu starten, damit die Änderungen wirksam werden.

„

sudo systemctl restart auditd

„

Audit-Dienst überprüfen

Um zu überprüfen, ob der auditd-Dienst ausgeführt wird, führen Sie den folgenden Befehl aus:

„

sudo systemctl status auditd

„

Wenn der auditd-Dienst ausgeführt wird, sollten Sie eine Ausgabe ähnlich der folgenden sehen:

„

● auditd.service – LSB:Linux-Überwachungsdienst starten/stoppen

Geladen:geladen (/etc/rc.d/init.d/auditd)

Aktiv:aktiv (läuft) seit Do 10.06.2021 09:23:07 UTC; Vor 2s

Dokumente:man:systemd-sysv-generator(8)

Haupt-PID:16252 (geprüft)

Aufgaben:1 (Limit:11347)

CGroup:/system.slice/auditd.service

├─16252 geprüft

└─16258 Schlaf

10. Juni 09:23:07 Rockylinux auditd[16252]:auditd_start:Kernel-Überwachungsdienst wird initialisiert

10. Juni 09:23:07 Rockylinux auditd[16252]:auditd_configure:Auditd-Filter auf Regeln in /etc/audit/audit.rule setzen

„