14.8. Linux 監査ログへの USBguard 認証イベントの記録

以下の手順に従って、USBguard 認証イベントのログと標準の Linux 監査ログを 1 つにまとめます。デフォルトでは、usbguard デーモンは /var/log/usbguard/usbguard-audit.log ファイルにイベントを記録します。

前提条件

  • usbguard サービスがインストールされており、実行している。
  • auditd サービスが実行している。

手順

  1. usbguard-daemon.conf ファイルを、選択したテキストエディターで編集します。 

    # vi /etc/usbguard/usbguard-daemon.conf

  2. AuditBackend オプションを、FileAudit から LinuxAudit に変更します。 

    AuditBackend=LinuxAudit

  3. usbguard デーモンを再起動して、設定変更を適用します。 

    # systemctl restart usbguard

検証

  1. 監査 デーモンログを USB 認証イベントに対してクエリーします。次に例を示します。 

    # ausearch -ts recent -m USER_DEVICE

関連情報

  • usbguard-daemon.conf(5) の man ページ