Как установить аудитд на CentOS?

Question

Как установить аудитд на CentOS?

Как установить audd на CentOS 6.4 x64? Я хочу Записать все команды, запущенные администраторами Записать все команды, запущенные администраторами на производственных серверах Редактировать: я не могу запустить службу aduditd

Я сделал с этим тут введите описание ссылки здесь

sudo yum install audit
sudo chkconfig auditd on

Добавил эти 2 строки в /etc/audit/audit.rules

-a exit,always -F arch=b64 -F euid=0 -S execve
-a exit,always -F arch=b32 -F euid=0 -S execve

Я выполнил несколько команд, и в журнале /var/log/ нет каталога для аудита

Теперь Audit не работает, я не могу запустить сервис. В журнале сообщений я получаю это

Sep  7 18:05:40 vesoljedomen auditd[6777]: Started dispatcher: /sbin/audispd pid: 6779
Sep  7 18:05:40 vesoljedomen audispd: No plugins found, exiting
Sep  7 18:05:40 vesoljedomen auditd[6777]: Unable to set audit pid, exiting
Sep  7 18:05:40 vesoljedomen auditd: Cannot daemonize (Success)
Sep  7 18:05:40 vesoljedomen auditd: The audit daemon is exiting.
Sep  7 18:05:40 vesoljedomen auditd[6777]: The audit daemon is exiting.
Sep  7 18:05:47 vesoljedomen auditd[6791]: Started dispatcher: /sbin/audispd pid: 6793
Sep  7 18:05:47 vesoljedomen audispd: No plugins found, exiting
Sep  7 18:05:47 vesoljedomen auditd[6791]: Unable to set audit pid, exiting
Sep  7 18:05:47 vesoljedomen auditd: Cannot daemonize (Success)
Sep  7 18:05:47 vesoljedomen auditd: The audit daemon is exiting.
Sep  7 18:05:47 vesoljedomen auditd[6791]: The audit daemon is exiting.
Sep  7 18:06:01 vesoljedomen auditd[6924]: Started dispatcher: /sbin/audispd pid: 6926
Sep  7 18:06:01 vesoljedomen audispd: No plugins found, exiting
Sep  7 18:06:01 vesoljedomen auditd[6924]: Unable to set audit pid, exiting
Sep  7 18:06:01 vesoljedomen auditd: Cannot daemonize (Success)
Sep  7 18:06:01 vesoljedomen auditd: The audit daemon is exiting.
Sep  7 18:06:01 vesoljedomen auditd[6924]: The audit daemon is exiting.


-bash-4.1# -bash-4.1# chkconfig --list | grep auditd
-bash: -bash-4.1#: command not found
-bash-4.1# auditd          0:off   1:off   2:on    3:on    4:on    5:on    6:off
Usage: auditd [-f] [-l] [-n] [-s disable|enable|nochange]
-bash-4.1# -bash-4.1# service auditd status
-bash: -bash-4.1#: command not found
-bash-4.1# service auditd start
-bash-4.1# auditd is stopped

3

centos logging monitoring log-files auditd

Источник

Luka Tce 07 сен '13 в 21:51

1 ответ

Другие вопросы по тегам centos logging monitoring log-files auditd

GioMac 07 сен '13 в 22:17 2013-09-07 22:17 · Answer 1 · 2013-09-07 22:17

Справочник называется /var/log/audit/ не /var/log/auditd/

Если отсутствует, то кто-то удалил этот каталог, запустите sudo yum reinstall audit воссоздать его.

audit установлен по умолчанию и работает, во всяком случае, запустить sudo service auditd start

Замечания:

Я хочу Записать все команды, запущенные администраторами Записать все команды, запущенные администраторами на производственных серверах

Audit не всегда поможет вам в этом, он не может регистрировать все, особенно когда журналы хранятся на одной машине.