현재 내 홈 디렉터리에 "no"라는 신비한 소켓 파일을 생성하는 응용 프로그램이 무엇인지 알아내려고 노력 중입니다. 몇 주에 한 번씩만 발생하므로 다음 규칙을 사용하여 auditd를 설정했습니다 /etc/audit.d/rules.d/no.
# This is to clear out old rules, so we don't append to them.
-D
# Feel free to add below this line. See auditctl man page
-w /home/philipp/no
몇 가지 테스트를 실행해 touch /home/philipp/no이것이 작동하는지 확인했습니다. 그러나 로그 파일은 지속되지 않습니다.
방금 파일이 어제 생성된 것으로 보이지만 auditd 로그가 사라졌습니다. 구성에서 로그가 "회전"으로 설정되어 있음에도 불구하고 오늘 컴퓨터를 부팅할 때 새 로그로 덮어썼습니다.
모든 로그를 유지하도록 auditd를 어떻게 설정합니까? 저는 systemd 및 감사 버전 3.0과 함께 Gentoo를 사용하고 있습니다.
auditd.conf:
#
# This file controls the configuration of the audit daemon
#
local_events = yes
write_logs = yes
log_file = /var/log/audit/audit.log
log_group = root
log_format = ENRICHED
flush = INCREMENTAL_ASYNC
freq = 50
max_log_file = 8
num_logs = 5
priority_boost = 4
name_format = NONE
##name = mydomain
max_log_file_action = KEEP_LOGS
space_left = 75
space_left_action = SYSLOG
verify_email = yes
action_mail_acct = root
admin_space_left = 50
admin_space_left_action = SUSPEND
disk_full_action = SUSPEND
disk_error_action = SUSPEND
use_libwrap = yes
##tcp_listen_port = 60
tcp_listen_queue = 5
tcp_max_per_addr = 1
##tcp_client_ports = 1024-65535
tcp_client_max_idle = 0
transport = TCP
krb5_principal = auditd
##krb5_key_file = /etc/audit/audit.key
distribute_network = no
q_depth = 400
overflow_action = SYSLOG
max_restarts = 10
plugin_dir = /etc/audit/plugins.d