1.确保收集了系统管理员操作(sudolog)
监视sudo日志文件。如果系统已正确配置为禁用该su命令,并强制所有管理员必须先登录然后sudo才能执行特权命令,则所有管理员命令都将登录到/var/log/sudo.log。每当执行命令时,审计事件都会触发,并且已执行的管理命令将被写入日志。
将以下行添加到/etc/audit/rules.d/audit.rules文件中:
-w /var/log/sudo.log -p wa -k actions
执行上述操作后,请重启audit服务:
# service auditd restart
2.确保收集了登录和注销事件
监视登录和注销事件。跟踪与登录/注销事件关联的文件的更改。该文件/var/log/lastlog保留用户最后一次成功登录的记录。该/var/run/failock 目录保留通过pam_faillock 模块登录失败的记录。
将以下行添加到/etc/audit/rules.d/audit.rules文件中:
-w /var/log/lastlog -p wa -k logins
-w /var/run/faillock/ -p wa -k logins
执行上述操作后,请重启audit服务:
# service auditd restart
3.确保收集了会话启动信息
监视会话启动事件。跟踪与会话事件关联的文件的更改。该文件/var/run/utmp跟踪所有当前登录的用