/etc/audit/audit.rulesで監査ルールを設定しています。
要件として:監査システムは、すべての管理、特権、およびセキュリティアクションを監査するように構成する必要があります。
そこで、/ etc/audit /auditd.rulesに1行追加します。
-a exit,always -S stime -S acct -S reboot -S swapon
ただし、service auditdrestartでaudit.dを再起動した後:
There is error comeout:
Stopping auditd: [ OK ]
Starting auditd: [ OK ]
Syscall name unknown: stime
There was an error in line 14 of /etc/audit/audit.rules
時間が認識できないようです。追加したルールの何が問題になっているのかを誰かが見つけてくれるでしょうか。どうもありがとう!
たまたま64ビットを実行していますか?アーキテクチャの認定が必要になる場合があります。
したがって、-a exit、常に-F Arch = b32 -S stime
お知らせ下さい。
代わりにこれを/etc/audit/audit.rules
に追加するべきではありませんか?