当在/etc/audit/auditd.conf中使用电子邮件地址时,有一个选项verify_email定义为,
该选项确定是否检查action_mail_acct中给出的电子邮件地址以查看域名是否可以解析。该选项必须在action_mail_acct之前给出,否则将使用默认值yes。
实际检查何时进行?例如,服务何时启动?审核事件何时发生?
在 Ubuntu 20 上,我尝试将审核日志发送到[email protected]。我确实有一个真实的域名和电子邮件服务器,但我在这里对它们进行了编辑。当我触发审核事件时,电子邮件会被发送到本地计算机上的 root。到目前为止我已经尝试过以下操作:
- 运行
echo "Subject: test" | sendmail -f root@my_machine.com [email protected]测试邮件发送成功。 /etc/audit/auditd.conf已修改为替换action_mail_acct = root为action_mail_acct = [email protected]- 修改auditd.conf后,我使用重新启动它
service auditd restart
我没有看到任何相关错误:
- /var/log/mail.err
- /var/log/mail.log
::: 更新 :::
action_email_acct设置为真实帐户后,我sudo ls在终端中运行以生成审计事件,我可以在/var/log/audit/audit.log中看到该事件。如果审核事件应该通过电子邮件发送,我是否应该在此处查看审核事件?
