Auditd adalah komponen ruang pengguna untuk Sistem Audit Linux. Ini bertanggung jawab untuk menulis catatan audit ke disk. Melihat log dilakukan dengan ausearch atau laporan keperluan. Konfigurasi aturan audit dilakukan dengan utilitas auditctl. Saat memulai, aturan di /etc/audit/rules.d/audit.rules dibaca oleh auditctl. Daemon audit itu sendiri memiliki beberapa opsi konfigurasi yang mungkin ingin disesuaikan oleh admin. Mereka ditemukan di /etc/audit/rules.d/auditd.conf berkas.
Pada CentOS/RHEL 6, file konfigurasinya adalah /etc/audit/audit.rules bukannya /etc/audit/rules.d/audit.rules.Posting ini akan menjelaskan langkah-langkah untuk mengaktifkan layanan auditd OS Linux untuk melacak peristiwa file seperti mengeksekusi, membaca, menulis, dll. Misalnya, jika Anda ingin melacak file /etc/hosts ikuti langkah-langkah yang diuraikan di bawah ini.
1. Periksa apakah layanan auditd telah dimulai.
# service auditd status auditd (pid 2311) is running...
2. Jika tidak berjalan, jalankan:
# service auditd start
3. jalankan perintah auditctl untuk mulai mengaudit file /etc/hosts. Sytaxnya seperti di bawah ini:
# auditctl -w /etc/hosts -p war -k hosts-file
Di sini,
-w – arahkan ke file (gunakan jalur lengkap) untuk menonton/mengaudit.
-p – atur izin untuk mengaudit, r untuk membaca, w untuk menulis, x untuk mengeksekusi, a untuk menambahkan.
-k – kata kunci untuk merekam informasi audit.
4. Mari kita verifikasi apakah aturan audit sudah diatur dengan benar. Baca dan tulis beberapa entri baru ke file /etc/hosts, lalu periksa informasi audit di /var/log/messages
# vi /etc/hosts
# ausearch -i -f /etc/hosts ..... type=PATH msg=audit(05/22/08 18:24:01.071:83) : name=/etc/hosts flags=follow,open inode=4313009 dev=08:05 mode=file,644 ouid=root ogid=root rdev=00:00 type=FS_INODE msg=audit(05/22/08 18:24:01.071:83) : inode=4313009 inode_uid=root inode_gid=root inode_dev=08:05 inode_rdev=00:00 type=FS_WATCH msg=audit(05/22/08 18:24:01.071:83) : watch_inode=4313009 watch=hosts filterkey=testhost perm=read,write,append perm_mask=read ....Cara Mengidentifikasi Pengguna yang Menghapus File Dari Direktori yang Diberikan di Linux