NFSで発生したイベントをauditdで追跡できます
サーバーXから/ opt/WHATEVERと呼ばれるNFS共有をマウントする複数のサーバーがあります。
サーバーXは次のルールで監査を有効にします:Sudo/sbin/auditctl -w/opt/WHATEVER -p rwxa
そのフォルダーのサーバーXでイベントが発生すると、うまく機能します。ただし、他のマシンがアクセスしたり変更したりしても、何も報告されません。サーバーXと他のサーバーは同じパスを持っています。つまり、/ opt/WHATEVER
Auditdを有効にしてNFSからのイベントを追跡するにはどうすればよいですか?
再帰と同様に、auditdを理解するには、まずauditdを理解する必要があります。 Auditdは、システムコールを傍受/監視し、それらを報告するカーネルモジュールのフロントエンドです。つまり、-wオプションは、ターゲットでls、md5sumなどを継続的に実行せず、ファイルアクセスの試行をレポートするようにカーネルモジュールに指示しますターゲットでのopen()やcreat()などの呼び出し。この情報を質問に戻すと、つまり、auditd できないは、この方法でリモートホストによって行われた変更を検出します。これらのシステムコールは、リモートシステムで発生しています。
希望する種類の監視を行うには、nfsマウントをローカルで監視するようにリモートホストでauditdを構成する必要があります。次に、audisp-remoteなどを使用して、auditdを実行しているすべてのホストを中央のログホストに記録します。その後、ログをより簡単に検索して関連付けることができます。