Auditd

/etc/audit/

Hlavní konfigurační adresář

/var/log/audit

Hlavní adresář logů

/etc/audit/rules.d/audit.rules

/etc/audit/rules.d/*.rules

Soubory k zapisování Auditd pravidel

/etc/audit/audit.rules

Soubor s vygenerovanými pravidly

Přepisuje se při každém generování pravidel (restartu)

/etc/audit/plugins.d/syslog.conf

sudo yum install audispd-plugins

Konfigurační soubor rSyslog pluginu.

Pokud nevidíte tento konfigurační soubor, musíte si stáhnout pluginy do auditd

/var/log/audit/audit.log

Defaultní soubor s logy vygenerovanými Auditd

-w [cesta] -p [práva] -k [klíč]

Základní syntaxe pravidel

-w /home/student/soubor.txt

Příklad cesty

-p rwxa

Práva (permissions)

read, write, execute, attribute

-k cokoli

Klíč je jakýkoli string bez mezer (existují omezení)

Klíč by měl reprezentovat čeho se log týká