Auditd サービスを再起動すると /etc/audit/audit.rules に加えられた変更が上書きされる

Resolution

[解決策]
- 監査ルールファイルは /etc/audit/rules.d に配置する必要があります。
- ファイル名は「.rules」で終わる必要があります。

または、以下の方法もあります。

• Red Hat Enterprise Linux 6

  • /etc/sysconfig/auditd で USE_AUGENRULES=no を設定します。
  • service auditd restart を実行して auditd サービスを再起動します。

• Red Hat Enterprise Linux 7

  • /usr/lib/systemd/system/auditd.service ファイルを /etc/systemd/system/auditd.service にコピーします。
  • ファイル内のコメントに従って、/etc/systemd/system/auditd.service を編集します。

   ## To not use augenrules, copy this file to /etc/systemd/system/auditd.service
   ## and comment/delete the next line and uncomment the auditctl line.
   ## NOTE: augenrules expect any rules to be added to /etc/audit/rules.d/
   ExecStartPost=-/sbin/augenrules --load
   #ExecStartPost=-/sbin/auditctl -R /etc/audit/audit.rules
  

  • systemd デーモンをリロードして、auditd サービスユニットファイルに加えられた変更をリロードします。

  $ systemctl daemon-reload
  

  • service auditd restart を実行して auditd サービスを再起動します。