10.6. Uso de auditctl para definir y ejecutar reglas de auditoría

Ejemplos de reglas del sistema de archivos

1. Para definir una regla que registre todos los accesos de escritura y todos los cambios de atributos del archivo /etc/passwd:

   # auditctl -w /etc/passwd -p wa -k passwd_changes

2. Para definir una regla que registre todos los accesos de escritura y todos los cambios de atributos de todos los archivos del directorio /etc/selinux/:

   # auditctl -w /etc/selinux/ -p wa -k selinux_changes

Ejemplos de reglas de llamada al sistema

1. Para definir una regla que cree una entrada de registro cada vez que las llamadas al sistema adjtimex o settimeofday sean utilizadas por un programa, y el sistema utilice la arquitectura de 64 bits:

   # auditctl -a always,exit -F arch=b64 -S adjtimex -S settimeofday -k time_change

2. Para definir una regla que cree una entrada en el registro cada vez que un usuario del sistema cuyo ID es igual o superior a 1000 elimine o cambie el nombre de un archivo:

   # auditctl -a always,exit -S unlink -S unlinkat -S rename -S renameat -F auid>=1000 -F auid!=4294967295 -k delete

   Tenga en cuenta que la opción -F auid!=4294967295 se utiliza para excluir a los usuarios cuyo UID de inicio de sesión no está establecido.