Red Hat Training

A Red Hat training course is available for RHEL 8

37.6. Utilização de Auditctl para definir e executar Regras de Auditoria

O sistema de Auditoria opera sobre um conjunto de regras que definem o que é capturado nos arquivos de registro. As regras de auditoria podem ser definidas tanto na linha de comando usando o utilitário auditctl ou no diretório /etc/audit/rules.d/.

O comando auditctl permite controlar a funcionalidade básica do sistema de Auditoria e definir regras que decidem quais eventos de Auditoria são registrados.

Exemplos de regras do sistema de arquivos

  1. Para definir uma regra que registra todos os acessos de escrita e cada mudança de atributo do arquivo /etc/passwd: 

    # auditctl -w /etc/passwd -p wa -k passwd_changes

  2. Definir uma regra que registra todos os acessos de escrita e todas as mudanças de atributos de todos os arquivos no diretório /etc/selinux/: 

    # auditctl -w /etc/selinux/ -p wa -k selinux_changes

Exemplos de regras de chamada de sistema

  1. Para definir uma regra que cria uma entrada de registro cada vez que as chamadas ao sistema adjtimex ou settimeofday são usadas por um programa, e o sistema usa a arquitetura de 64 bits: 

    # auditctl -a always,exit -F arch=b64 -S adjtimex -S settimeofday -k time_change

  2. Definir uma regra que cria uma entrada de registro cada vez que um arquivo é excluído ou renomeado por um usuário do sistema cuja ID é 1000 ou maior: 

    # auditctl -a always,exit -S unlink -S unlinkat -S rename -S renameat -F auid>=1000 -F auid!=4294967295 -k delete

    Note que a opção -F auid!=4294967295 é usada para excluir usuários cujo login UID não está definido.

Regras de arquivo executável

Para definir uma regra que registra toda a execução do programa /bin/id, execute o seguinte comando: 

# auditctl -a always,exit -F exe=/bin/id -F arch=b64 -S execve -k execution_bin_id

Recursos adicionais

  • Consulte a página de manual audictl(8) para mais informações, dicas de desempenho e exemplos adicionais de uso.