¿Alguien ha utilizado, o la creación de auditd?

Quiero usar a los archivos críticos del sistema de auditoría.

¿Será este difícil, ¿cómo iba a empezar a configurar esto?

Cada vez que me hacen

Auditctl-l

Me

linux101: / etc # auditctl-l
Ninguna regla
Relojes del sistema de archivos no soportados

Aquí está mi audit.rules

linux101: / etc # cat audit.rules
# Este archivo contiene las normas auditctl que se cargan
# Siempre que la auditoría demonio se inicia a través de la de inicio.
# Las reglas son simplemente los parámetros que se aprobó
# Para auditctl.

# Primera regla - eliminar todos los
-D

# No dude en añadir debajo de esta línea. Ver auditctl página man

# Aumentar los topes para sobrevivir estrés eventos
256-b



Aquí está mi auditd.conf




lxt-sles101: / etc # cat auditd.conf
#
# Este fichero controla la configuración de la auditoría demonio
#

log_file \u003d / var / log / auditoría / audit.log
log_format \u003d RAW
priority_boost \u003d 3
ras \u003d LOS
frec \u003d 20
num_logs \u003d 4
# despachador \u003d / usr / sbin / audispd
max_log_file \u003d 5
max_log_file_action \u003d ROTAR
space_left \u003d 75
\u003d space_left_action SYSLOG
action_mail_acct \u003d root
admin_space_left \u003d 50
\u003d suspender admin_space_left_action
\u003d suspender disk_full_action
\u003d suspender disk_error_action


¿Qué estoy haciendo mal? .

1. Prueba a añadir a este audit.conf:
disp_qos - pérdidas

2. Reinicie auditd.

El auditd es una lista de correo con un montón de buena información: Linux-Página de Información de auditoría

buena suerte!

Ricos