auditd adalah komponen userspace untuk sistem audit Linux. Ini berarti bahwa pengguna sistem akan dapat menjalankan auditd untuk mengonfigurasi aturan dan peringatan untuk mengaudit fungsionalitas dengan sistem Linux. Salah satu hal terbaik tentang auditd adalah ia terintegrasi erat dengan kernel, sehingga memberi kita kekuatan untuk memantau hampir semua yang kita inginkan, sungguh.
Untuk memungkinkan pengguna melihat apa yang sedang terjadi, auditd dapat merekam semua peristiwa terkait audit ke disk dan kami dapat menggunakan berbagai alat seperti ausearch atau aureport untuk menelusuri file log. Secara default, tidak ada aturan yang dikonfigurasi. Kita perlu menulis aturan kita di /etc/audit/rules.d/audit.rules file konfigurasi yang akan dibaca dan tindakan audit yang sesuai akan diterapkan.
Mengabaikan/Mengecualikan file/direktori dari dalam aturan audit
Tidak termasuk direktori
Cara termudah untuk dilakukan adalah dengan menonaktifkan jalur dari Logging misalnya:
# vi /etc/audit/rules.d/audit.rules -a never,exclude -F dir=/path/to/exclude -k exclude_dir
Di atas akan mengecualikan direktori /path/to/exclude agar tidak dicatat oleh auditd.
Pada CentOS/RHEL 6, file konfigurasinya adalah /etc/audit/audit.rules bukannya /etc/audit/rules.d/audit.rules.Tidak termasuk file
Untuk mengecualikan file dari audit:
# vi /etc/audit/rules.d/audit.rules -a never,exclude -F path=/file_to_exclude -k exclude_file
Di sini,
-a – Tambahkan aturan ke akhir daftar dengan tindakan.
tidak pernah – Tidak ada catatan audit yang akan dibuat.
kecualikan – Tambahkan aturan ke daftar filter pengecualian jenis acara
-F – Bidang aturan seperti jalur, nomor inode, nama file, dll.
Bidang Aturan lain yang digunakan untuk mengecualikan
Anda juga dapat menonaktifkan audit file/direktori dengan menggunakan berbagai bidang aturan lain seperti nomor inode, nama perintah/aplikasi seperti /sbin/rm dll.
# vi /etc/audit/rules.d/audit.rules -a never,exclude -F exe=/usr/bin/java -k exclude_java -a never,exclude -F inode=17910851 -k exclude_inode
kecualikan semua operasi dari UID
Tambahkan format di bawah ini untuk mengecualikan semua operasi dari uid.
# vi /etc/audit/rules.d/audit.rules -a exit,never -F auid=[UID number]
Nonaktifkan mode yang tidak dapat diubah
Jika sistem audit dalam mode tidak dapat diubah, tidak ada perubahan aturan yang diizinkan. Jadi pastikan Anda juga berkomentar di /etc/audit/audit.rules di bawah entri jika belum berkomentar.
# vi /etc/audit/audit.rules # Make the configuration immutable -- reboot is required to change audit rules #-e 2
Anda perlu me-reboot sistem setelah perubahan di atas selesai.
# shutdown -r now
Dalam kasus normal, cukup mulai ulang layanan auditd:
# service auditd restart