Red Hat Training

A Red Hat training course is available for RHEL 8

14.8. 将 USBguard 授权事件记录到 Linux 审计日志中

使用以下步骤将 USBguard 授权事件记录集成到标准的 Linux 审计日志中。默认情况下,usbguard 守护进程将事件记录到 /var/log/usbguard/usbguard-audit.log 文件中。

先决条件

  • usbguard 服务已安装并运行。
  • auditd 服务正在运行。

流程

  1. 使用您选择的文本编辑器编辑 usbguard-daemon.conf 文件: 

    # vi /etc/usbguard/usbguard-daemon.conf

  2. AuditBackend 选项从 FileAudit 改为 LinuxAudit

    AuditBackend=LinuxAudit

  3. 重启 usbguard 守护进程以应用配置更改: 

    # systemctl restart usbguard

验证

  1. 查询 USB 授权事件的 audit 守护进程日志,例如: 

    # ausearch -ts recent -m USER_DEVICE

其它资源

  • usbguard-daemon.conf(5) 手册页。