Qualcuno ha usato, o creare auditd?

Vorrei usarlo per controllo file di sistema critici.

Questo sarà difficile, come ho iniziare l'impostazione di questo?

Everytime I do

Auditctl-l

Ho

linux101: / etc # auditctl-l
N. regole
File system non supportato orologi

Qui è la mia audit.rules

linux101: / etc # cat audit.rules
# Questo file contiene il auditctl regole che vengono caricati
# Ogni volta che il controllo demone viene avviato tramite l'initscript.
# Le regole sono semplicemente i parametri che potrebbe essere trasferito
# Per auditctl.

# Prima regola - per eliminare tutte le
-D

# Sentiti libero di aggiungere al di sotto di questa linea. Vedi auditctl pagina man

# Aumentare il buffer di sopravvivere stress eventi
256-b



Qui è la mia auditd.conf




lxt-sles101: / etc # cat auditd.conf
#
# Questo file controlla la configurazione del controllo demone
#

log_file \u003d / var / log / audit / audit.log
log_format \u003d RAW
priority_boost \u003d 3
flush \u003d Incrementale
freq \u003d 20
num_logs \u003d 4
# dispatcher \u003d / usr / sbin / audispd
max_log_file \u003d 5
max_log_file_action \u003d ROTATE
space_left \u003d 75
space_left_action \u003d SYSLOG
action_mail_acct \u003d root
admin_space_left \u003d 50
admin_space_left_action \u003d SOSPENDERE
disk_full_action \u003d SOSPENDERE
disk_error_action \u003d SOSPENDERE


Che cosa sto facendo di sbagliato? .

1. Provate ad aggiungere a questo audit.conf:
disp_qos - perdita di

2. Riavviare auditd.

La mail è uno auditd elenco con un sacco di buone informazioni: Linux-audit Info Page

buona fortuna!

Rich