Centos7の/etc/audit/audit.rules
の上部に表示されます。
## This file is automatically generated from /etc/audit/rules.d
さて、私は行って見て、/etc/audit/rules.d/audit.rules
を見つけました。次の行がありました
# Feel free to add below this line. See auditctl man page
私がしたこと、そして多分それがオプションだったようなlookedを見つけました:
-R file
Read rules from a file. The rules must be 1 per line and in the order that they are to be executed in. The rule file must be
owned by root and not readable by other users or it will be rejected. The rule file may have comments embedded by starting
the line with a '#' character. Rules that are read from a file are identical to what you would type on a command line except
they are not preceded by auditctl (since auditctl is the one executing the file) and you would not use Shell escaping since
auditctl is reading the file instead of bash.
しかし、私はauditctl -R /etc/audit/rules.d/audit.rules
を実行しました。これは機能しているようですただし/etc/audit/audit.rules
には何もしませんでした。
そのファイルを再生成する正しい方法は何ですか?
ユーティリティaugenrulesは、ディレクトリ/etc/audit/rules.dにある* .rulesファイルから/etc/audit/audit.rulesを構築します。
このユーティリティは、auditdサービスから呼び出されます(または、手動で呼び出してから、検出されたルールファイルをロードすることもできますが、サービスの再起動は簡単です)。
Auditdシステムがsystemdをネイティブで使用できない理由を思い出せません。 [email protected]メーリングリストのアーカイブを確認してください。