Pertanyaan :Bagaimana cara mengkonfigurasi auditd untuk mengubah hak akses default pada /var/log/audit/audit.log dari 0600 menjadi 0640 dan juga mengubah kepemilikan grup file?
Secara default, tidak mungkin mengubah izin pada file /var/log/audit/audit.log menggunakan ACL, sebagai gantinya “log_group ” parameter dapat diatur di bawah file /etc/audit/audit.conf .
Langkah-Langkahnya
Dalam contoh ini, kami ingin mengubah izin default pada /var/audit/audit.log dari 600 ke 640 dan juga mengubah grup dari root untuk melempar .
1. Periksa izin saat ini pada file /var/audit/audit.log, sebagian besar root:root dengan 0600
# ls -l /var/log/audit/audit.log -rw------- 1 root root 3531590 Jun 1 00:20 /var/log/audit/audit.log
2. Edit /etc/audit/auditd.conf file dan ubah log_group untuk melempar .
Sebelum perubahan:
# cat /etc/audit/auditd.conf | grep log_group log_group = root
Setelah perubahan:
# cat /etc/audit/auditd.conf | grep log_group log_group = splunk
3. Mulai ulang layanan audit dan periksa.
# service audit restart
4. Periksa izin di /var/log/audit/audit.log.
# ls -l /var/log/audit/audit.log -rw-r----- 1 root splunk 3532862 Jun 1 00:24 /var/log/audit/audit.logCatatan :Dalam contoh ini splunk pengguna dan grup yang diambil untuk demo, mungkin dalam pengaturan Anda mungkin ada nama pengguna dan grup yang berbeda. Memahami Audit sistem dengan auditd