Actualmente estoy intentando descubrir qué aplicación está creando un misterioso archivo de socket llamado "no" en mi directorio de inicio. Ocurre solo cada pocas semanas, es por eso que realicé una configuración auditada con la siguiente regla en /etc/audit.d/rules.d/no:
# This is to clear out old rules, so we don't append to them.
-D
# Feel free to add below this line. See auditctl man page
-w /home/philipp/no
La ejecución de algunas pruebas como touch /home/philipp/noésta confirmó que esto funciona. Sin embargo, los archivos de registro no son persistentes.
Me acabo de encontrar con que el archivo aparentemente se creó ayer, pero el registro auditado desapareció; se sobrescribió con un nuevo registro cuando inicié la máquina hoy, a pesar de que los registros están configurados para "rotar" en la configuración.
¿Cómo puedo configurar auditd para conservar todos los registros? Estoy usando Gentoo con systemd y la versión 3.0 de audit.
auditd.conf:
#
# This file controls the configuration of the audit daemon
#
local_events = yes
write_logs = yes
log_file = /var/log/audit/audit.log
log_group = root
log_format = ENRICHED
flush = INCREMENTAL_ASYNC
freq = 50
max_log_file = 8
num_logs = 5
priority_boost = 4
name_format = NONE
##name = mydomain
max_log_file_action = KEEP_LOGS
space_left = 75
space_left_action = SYSLOG
verify_email = yes
action_mail_acct = root
admin_space_left = 50
admin_space_left_action = SUSPEND
disk_full_action = SUSPEND
disk_error_action = SUSPEND
use_libwrap = yes
##tcp_listen_port = 60
tcp_listen_queue = 5
tcp_max_per_addr = 1
##tcp_client_ports = 1024-65535
tcp_client_max_idle = 0
transport = TCP
krb5_principal = auditd
##krb5_key_file = /etc/audit/audit.key
distribute_network = no
q_depth = 400
overflow_action = SYSLOG
max_restarts = 10
plugin_dir = /etc/audit/plugins.d