Ubuntu 24.04 Auditdをインストールする方法
環境
Ubuntu 24.04
概要
Audit システムによるシステム監査の設定です。
システムコール、セキュリティイベント、ファイルアクセス、コマンドの実行等を監視可能です。
1.Auditd をインストールします。
# apt -y install auditd
2.Auditd はデフォルト設定のままでも使用できますが、保管するログファイルの世代等々、設定ファイルにより変更可能です。
# vi /etc/audit/auditd.conf
# 7行目 : ログファイルを指定 log_file = /var/log/audit/audit.log # 12行目 : ログファイルの最大サイズMB max_log_file = 8 # 13行目 : max_log_file_action=ROTATE の場合の保管するログファイル数 num_logs = 5 # 15行目 : ログに記録するホスト名 # 有効な値 : NONE, HOSTNAME, FQD, NUMERIC, USER name_format = NONE # 16行目 : name_format=USER を指定した場合に設定する任意のホスト名 ##name = cftdomain # 17行目 : ログファイルが最大サイズに達した場合のアクション # 有効な値 : IGNORE, SYSLOG, SUSPEND, ROTATE, KEEP_LOGS max_log_file_action = ROTATE