Настройка AuditD на Unix системах
Информация, приведенная на данной странице, является разработкой команды pre-sales и/или community KUMA и НЕ является официальной рекомендацией вендора.
Для начала необходимо проврить установлена нужная служба auditd, посмотрим активные правила:
auditctl -l
В случае наличия подобной ошибки:
Необходимо установить следующие пакеты:
apt-get install auditd audispd-plugins
Либо (если RHEL подобные ОС):
yum install audit audispd-plugins
Рекомендуем использовать следующие правила для аудита:
wget -O audit.rules https://raw.githubusercontent.com/Neo23x0/auditd/master/audit.rules
Загрузить файл с правилами аудита с портала box.kaspersky.com - тут.
Другие правила аудита и полезные материалы по AuditD можно найти - тут.
Далее нужно переместить правила в директорию по умолчанию и применить правила перезапуском сервиса:
cp audit.rules /etc/audit/rules.d/
systemctl restart auditd.service
systemctl enable auditd.service
Для проверки убедитесь что следующий лог наполняется информацией:
tail -f /var/log/audit/audit.log
Известные проблемы
Бывают случаи, когда из-за ротации самого себя auditd (собственная ротация) падает в статусе сервиса:
Sep 24 00:11:42 example.org auditd[756]: Audit daemon rotating log files
В таком статусе лог файл не пополняется, рекомендуется использовать системную ротацию logrotate.
Сначала отключается собственная ротация auditd, правим конфиг:
nano /etc/audit/auditd.conf
Правим занчение (выделено жирным): max_log_file_action = ignore
Затем настраивается системная ротация logrotate.
touch /etc/logrotate.d/auditd
chmod 644 /etc/logrotate.d/auditd; chown root:root /etc/logrotate.d/auditd
nano /etc/logrotate.d/auditd
Пишем в файле auditd:
/var/log/audit/audit.log
{
# daily rotation keep last 2 days and compress old
daily
rotate 2
maxsize 150M
postrotate
$(/bin/kill `cat /var/run/auditd.pid 2> /dev/null`)
service auditd restart
endscript
missingok
compress
}
Перезапускаем службы logrotate и auditd:
systemctl restart logrotate.service; systemctl restart auditd.service