Tugas penting yang terkait dengan pemecahan masalah dapat muncul dari pemahaman tentang aktivitas yang umumnya terkait dengan tindakan membaca dan menulis file. Linux menyediakan utilitas sederhana untuk ini. Dikenal sebagai auditd, layanan ini (atau daemon) dimulai selama proses boot. Peristiwa dicatat ke file log terkait yang ditemukan di /var/log/audit dan saat berjalan di latar belakang, Anda dapat memeriksa status layanan saat ini dengan perintah di bawah ini untuk server CentOS/RHEL 7:
# systemctl status auditd
Layanan audit dapat disesuaikan dan Anda dapat memiliki akses langsung untuk mengelola ukuran file log, lokasi, dan atribut terkait dengan mengakses file berikut dengan editor teks favorit Anda:
# vi /etc/audit/auditd.conf
Mengubah lokasi file log default untuk auditd
1. Dalam file konfigurasi auditd /etc/audit/auditd.conf , ubah opsi log_file =/var/log/audit/audit.log sehingga mengarah ke jalur baru, mis. g.:
# vi /etc/audit/auditd.conf log_file = /auditd_logs/audit.log
2. Jika Anda mengaktifkan SELinux, konfigurasikan label konteks file SELinux default untuk jalur baru dan pulihkan konteks keamanan yang sesuai:
# semanage fcontext -a -e /var/log/audit '/auditd_logs(/.*)?' restorecon -Rv /auditd_logs
3. Mulai ulang layanan auditd agar perubahan diterapkan.
# service auditd restart # For CentOS 5,6 # systemctl restart auditd # For CentOS 7
Verifikasi
Anda dapat memeriksa file log baru /auditd_logs/audit.log untuk mendapatkan log auditd baru. Juga mulai sekarang, saat menggunakan perintah ausearch, tambahkan sakelar -if atau –input-logs:
# ausearch -if /auditd_logs/audit.log -m avc -i -ts recentMemahami Audit Sistem dengan auditd
Cara menggunakan auditd untuk memantau SYSCALL tertentu
Cara memantau Mount/Umount Point Mount Menggunakan Auditd pada CentOS/RHEL 6,7
Cara menggunakan auditd untuk memantau penghapusan file di Linux