GNU/Linux >> Tutoriales Linux >  >> Cent OS

Cómo cambiar la ruta del archivo de registro auditd /var/log/audit/audit.log

Una tarea importante relacionada con la solución de problemas puede surgir de la comprensión de las actividades comúnmente asociadas con la acción de leer y escribir archivos. Linux proporciona una utilidad simple para esto. Conocido como auditd, este servicio (o demonio) se inicia durante el proceso de arranque. Los eventos se registran en un archivo de registro asociado que se encuentra en /var/log/audit y, como se ejecuta en segundo plano, puede verificar el estado actual del servicio con el siguiente comando en el caso del servidor CentOS/RHEL 7:

# systemctl status auditd

Es posible personalizar el servicio de auditoría y puede tener acceso directo para administrar el tamaño del archivo de registro, la ubicación y los atributos asociados accediendo al siguiente archivo con su editor de texto favorito:

# vi /etc/audit/auditd.conf

Cambiar la ubicación predeterminada del archivo de registro para auditd

1. En el archivo de configuración de auditd /etc/audit/auditd.conf , cambie la opción log_file =/var/log/audit/audit.log para que apunte a la nueva ruta, p. ej.:

# vi /etc/audit/auditd.conf
log_file = /auditd_logs/audit.log

2. Si tiene habilitado SELinux, configure las etiquetas de contexto de archivo de SELinux predeterminadas para la nueva ruta y restaure los contextos de seguridad en consecuencia:

# semanage fcontext -a -e /var/log/audit '/auditd_logs(/.*)?'
restorecon -Rv /auditd_logs

3. Reinicie el servicio auditd para que los cambios surtan efecto.

# service auditd restart         # For CentOS 5,6
# systemctl restart auditd       # For CentOS 7

Verificar

Puede consultar el nuevo archivo de registro /auditd_logs/audit.log para obtener los nuevos registros de auditoría escritos. Además, de ahora en adelante, cuando use el comando ausearch, agregue los modificadores -if o –input-logs:

# ausearch -if /auditd_logs/audit.log -m avc -i -ts recent
Comprender la auditoría del sistema con auditd
Cómo usar auditd para monitorear un SYSCALL específico
Cómo monitorear el montaje/desmontaje de puntos de montaje usando Auditd en CentOS/RHEL 6,7
Cómo usar auditd para monitorear la eliminación de un archivo en Linux


Cent OS

  1. ¿Cómo maneja Linux múltiples separadores de rutas consecutivas (/home////username///file)?

  2. ¿Diferencia entre /var/log/messages, /var/log/syslog y /var/log/kern.log?

  3. Cómo cambiar los permisos predeterminados en el archivo /var/log/audit/audit.log en CentOS/RHEL

  4. Los mensajes auditados se están llenando /var/log/messages

  5. Sintaxis del archivo de configuración logrotate:¿son posibles múltiples entradas comodín?

Cómo cambiar el archivo de registro de Sudo predeterminado en Linux

¿Cómo evitar que /var/log/kern.log.1 consuma todo el espacio en disco?

Cómo cambiar la ruta del registro de auditoría en MySQL Docker

CentOS / RHEL:Cómo rotar el archivo /var/log/wtmp y /var/log/btmp usando logrotate

Cómo truncar el archivo /var/log/lastlog

Cómo leer el registro de auditoría en Linux