RedHat entririse Linux監査ルールについて混乱しています。 audit.rules には以下が含まれます。
# This file contains the auditctl rules that are loaded
# whenever the audit daemon is started via the initscripts.
# The rules are simply the parameters that would be passed
# to auditctl.
# First rule - delete all
-D
# Increase the buffers to survive stress events.
# Make this bigger for busy systems
-b 320
# Feel free to add below this line. See auditctl man page
文書では、-D は次のことを意味します。
deletes all currently loaded Audit rules, for example:
それでは、上記のaudit.rulesは何を生成しますか? audit.logにはどのような情報が含まれていますか?何が監視されているのか、どうすればわかりますか?このルールの最初の理解は、再起動が完了すると以前に監査されたすべてのタスクが削除されますが、その後実際に監査されるタスクは何ですか?
説明していただきありがとうございます。
ベストアンサー1
デフォルトでは監査ルールはありません。このファイルは独自のルールを作成するための基盤として存在します。すべてのシステムに役立つルールはないため、この展開にはルールはありません。記録する必要がある内容は、システムを使用する目的とシステムについて知りたい内容によって異なります。
このファイルは、実行中のシステムで監査サービスを再起動できるように、まず既存のルールを消去します。これにより、以前に存在していたルールに関係なく既知の状態になります。
ルールはしばしば/etc/audit/rules.d。このファイルは、/etc/audit/audit.rules監査サービスを(再)開始する前に再生成されます。