Кто используется, или созданы auditd?

Я хочу использовать его для проверки критических системных файлов.

Это будет трудно, как бы мне начать настройку?

Каждый раз, когда я

Auditctl-л

Я получаю

linux101: / и т.д. # auditctl-л
Нет правил
Файловая система не поддерживает часы

Вот моя audit.rules

linux101: / и т.д. # кота audit.rules
# Этот файл содержит auditctl правила, которые загружаются
# При проверке демон начинается через проверки.
# Правила являются лишь параметры, которые будут переданы
# Для auditctl.

# Первое правило - удалить все
-D

# Вы можете добавить ниже этой линии. См. auditctl мужчина страницу

# Увеличьте буфер выжить подчеркнуть события
B-256



Вот моя auditd.conf




lxt-sles101: / и т.д. # кота auditd.conf
#
# Этот файл управляет конфигурацией ревизии демон
#

log_file \u003d / VAR / Журнал / аудит / audit.log
log_format \u003d RAW
priority_boost \u003d 3
Флеш \u003d ДОПОЛНИТЕЛЬНЫХ
частота \u003d 20
num_logs \u003d 4
# диспетчеру \u003d / USR / sbin / audispd
max_log_file \u003d 5
max_log_file_action \u003d Повернуть
space_left \u003d 75
space_left_action \u003d системного журнала
action_mail_acct \u003d корень
admin_space_left \u003d 50
admin_space_left_action \u003d SUSPEND
disk_full_action \u003d SUSPEND
disk_error_action \u003d SUSPEND


Что я делаю неправильно? .

1. Попробуйте добавить к этой audit.conf:
disp_qos - с потерями

2. Перезагрузите auditd.

На является auditd почте список с множеством хороших информация: Linux-аудит Информация страницу

удачи!

Rich