Hat jemand verwendet, oder die Einrichtung auditd?

Ich möchte es für die Prüfung kritischen Systemdateien.

Wird es schwer, wie soll ich beginnen, diesen Vorgang?

Everytime I do

Auditctl-l

Ich

linux101: / etc # auditctl-l
Keine Regeln
File System Uhren nicht unterstützt

Hier ist meine audit.rules

linux101: / etc # cat audit.rules
# Diese Datei enthält die auditctl Regeln ", die geladen werden
# Wenn die Prüfung Daemon wird über die Initskripte.
# Die Regeln sind einfach die Parameter, würden
# Um auditctl.

# Erste Regel - Löschen aller
-D

# Fühlen Sie sich frei, um unterhalb dieser Linie. Siehe auditctl Manpage

# Erhöhung der Puffer, um zu überleben Stress Veranstaltungen
-B 256



Hier ist meine auditd.conf




LXT-sles101: / etc # cat auditd.conf
#
# Diese Datei steuert die Konfiguration der Prüfung Daemon
#

log_file \u003d / var / log / audit / audit.log
log_format RAW \u003d
priority_boost \u003d 3
flush \u003d INCREMENTAL
freq \u003d 20
num_logs \u003d 4
# Dispatcher \u003d / usr / sbin / audispd
max_log_file \u003d 5
max_log_file_action \u003d ROTATE
space_left \u003d 75
space_left_action \u003d SYSLOG
action_mail_acct \u003d root
admin_space_left \u003d 50
admin_space_left_action \u003d SUSPEND
disk_full_action \u003d SUSPEND
disk_error_action \u003d SUSPEND


Was mache ich falsch? .

1. Versuchen Sie, diese zu audit.conf:
disp_qos - verlustbehaftet

2. Starten Sie auditd.

Das ist ein auditd Mail-Liste mit vielen guten Infos: Linux-Audit-Info-Seite

Viel Glück!

Rich