OS sles 15,已启用审计服务
当我发出任何命令(例如,date 或 ls)时,我希望它被记录在 audit.log 中,如下所示:
类型=SYSCALL 消息=审计...
类型 = EXECVE msg = audit(1718094805.867:24632): argc = 1 a0 =“日期”
...
但这些条目不在 audit.log 中
那里还有其他条目,例如有关会话的开始/结束的条目,但没有调用任何命令。
尝试启动 auditd 服务时出现以下错误:
auditctl[2144]:Error - audit support not in kernel
auditctl[2144]:Cannot open netlink audit socket
auditctl[2144]:Started Security Auditing Service.
systemd[1]:auditd.service: main process exited, code=exited, status=1/FAILURE
systemd[1]:Unit auditd.service entered failed state.
工具的内核配置文件/模块是auditctl什么?我不允许升级内核。
Auditd 不允许在不同文件中记录不同的过滤器(参见手册页)。是否有替代方案使其成为可能,特别是分离账户活动?
在 RHEL5 和 RHEL6 中,我可以audit=1在启动过程开始之前添加启动内核级审计auditd。现在,在 RHEL7 中,我找不到任何audit=1作为内核参数的提及。
有没有人在启动时看到过关于内核/系统审计的权威文档?只是audit安装了 RPM 并且systemctl enable auditd在重新启动时就足够了吗?