現在、ホーム ディレクトリに「no」という謎のソケット ファイルを作成しているアプリケーションを特定しようとしています。これは数週間に 1 回しか発生しないため、次のルールで Auditd を設定しました/etc/audit.d/rules.d/no。
# This is to clear out old rules, so we don't append to them.
-D
# Feel free to add below this line. See auditctl man page
-w /home/philipp/no
次のようないくつかのテストを実行すると、touch /home/philipp/noこれが機能することが確認されました。ただし、ログ ファイルは永続的ではありません。
どうやら昨日ファイルが作成されたようですが、auditd ログは消えています。構成でログが「ローテーション」に設定されているにもかかわらず、今日マシンを起動したときに新しいログで上書きされました。
すべてのログを保持するようにauditdを設定するにはどうすればいいですか? 私はsystemdとauditのバージョン3.0を備えたGentooを使用しています。
監査d.conf:
#
# This file controls the configuration of the audit daemon
#
local_events = yes
write_logs = yes
log_file = /var/log/audit/audit.log
log_group = root
log_format = ENRICHED
flush = INCREMENTAL_ASYNC
freq = 50
max_log_file = 8
num_logs = 5
priority_boost = 4
name_format = NONE
##name = mydomain
max_log_file_action = KEEP_LOGS
space_left = 75
space_left_action = SYSLOG
verify_email = yes
action_mail_acct = root
admin_space_left = 50
admin_space_left_action = SUSPEND
disk_full_action = SUSPEND
disk_error_action = SUSPEND
use_libwrap = yes
##tcp_listen_port = 60
tcp_listen_queue = 5
tcp_max_per_addr = 1
##tcp_client_ports = 1024-65535
tcp_client_max_idle = 0
transport = TCP
krb5_principal = auditd
##krb5_key_file = /etc/audit/audit.key
distribute_network = no
q_depth = 400
overflow_action = SYSLOG
max_restarts = 10
plugin_dir = /etc/audit/plugins.d