Konfigurasi Aturan Audit tidak Tercermin – Cara memecahkan masalah

Masalahnya

Kami telah menambahkan aturan audit baru ke file konfigurasi /etc/audit/rules.d/audit.rules seperti yang ditunjukkan di bawah ini:

# vi /etc/audit/rules.d/audit.rules
-a always,exit -F arch=b64 -S adjtimex -S settimeofday -S stime -S clock_settime -k time-change
-a always,exit -F arch=b64 -S sethostname -S setdomainname -k system-locale

Namun, konfigurasi ini tidak tercermin.

# auditctl -l
No rules

Catatan :Pada CentOS/RHEL 6, file konfigurasinya adalah /etc/audit/audit.rules bukannya /etc/audit/rules.d/audit.rules.

Solusinya

1. Hal pertama yang harus diperiksa di sini adalah sintaks aturan dan benar jika salah. Misalnya, Anda dapat secara manual menjalankan aturan yang telah Anda konfigurasikan di file konfigurasi. Anda akan melihat kesalahan sintaks pada baris perintah saat Anda menjalankan perintah. Misalnya:

# auditctl -a always,exit -F arch=b64 -S adjtimex -S settimeofday -S stime -S clock_settime -k time-change
Syscall name unknown: stime
The audit system is in immutable mode, no rule changes allowed

2. Perbaiki argumen aturan “-S time” dan mulai ulang sistem. Restart diperlukan untuk menonaktifkan mode auditd yang tidak dapat diubah.

3. Setelah reboot, semua aturan audit akan ditampilkan.

# auditctl -l
-a always,exit -F arch=x86_64 -S adjtimex,settimeofday,time,clock_settime -F key=time-change
-a always,exit -F arch=x86_64 -S sethostname,setdomainname -F key=system-locale

Jika Anda menetapkan sintaks yang salah di file konfigurasi /etc/audit/rules.d/audit.rules, auditd hentikan pendaftaran aturan. Jadi, semua aturan setelah baris sintaks yang salah, tidak akan tercermin.