1.确保收集了修改日期和时间信息的事件
捕获已修改系统日期和/或时间的事件。并且将审核记录写入文件/var/log/audit.log,并用标识符“ time-change”标记记录
编辑/etc/audit/rules.d/audit.rules文件,并添加以下行:
-a always,exit -F arch=b64 -S adjtimex -S settimeofday -k time-change
-a always,exit -F arch=b32 -S adjtimex -S settimeofday -S stime -k time-change
-a always,exit -F arch=b64 -S clock_settime -k time-change
-a always,exit -F arch=b32 -S clock_settime -k time-change
-w /etc/localtime -p wa -k time-change
执行上述操作后,请重启audit服务:
# service auditd restart
2.确保收集了修改系统网络环境的事件
记录对网络环境文件或系统调用的更改。以下参数监视sethostname(设置系统主机名)或setdomainname(设置系统域名)系统调用,并在系统调用出口上写入审核事件。
编辑/etc/audit/rules.d/audit.rules文件,并添