ฉันพยายามดูไฟล์ adhoc alert.log ด้วย auditd แต่ฉันไม่รู้ว่าทำไมมันไม่ทำงาน ฉันไม่พบรายการที่เกี่ยวข้องในไฟล์ auditd.log
# auditctl -w /tmp/alert1.log -p wa -k การแจ้งเตือน
#
#auditctl -l
-ไม่เคยงาน
-a always,exit -F arch=b64 -S adjtimex,settimeofday -F key=time-change
-a always,exit -F arch=b32 -S stime,settimeofday,adjtimex -F key=time-change
-a เสมอ ออก -F arch=b64 -S clock_settime -F key=time-change
-a เสมอ ออก -F arch=b32 -S clock_settime -F key=time-change
-w /tmp/alert1.log -p wa -k การแจ้งเตือน
เสียงสะท้อน >> /tmp/alert1.log
พยายามตรวจสอบกิจกรรมคนตัดไม้ด้วย:
-w /bin/logger -p x -k LOGGER_CALL
แต่ดูเหมือนว่าจะสร้างการแจ้งเตือนเพียงครั้งเดียว เมื่อฉันใช้ตัวบันทึกอีกครั้ง การแจ้งเตือนตัวบันทึกถัดไปจะไม่ได้รับการดู/บันทึก
...แก้ไข ฉันพบพฤติกรรมแปลกๆ มันใช้งานได้ก็ต่อเมื่อฉันใช้กฎสองข้อนี้เท่านั้น>
-w /usr/bin/logger -p x -k LOGGER_CALL
-w /tmp/alert.log -p wa -k การแจ้งเตือน
แต่เมื่อฉันใช้กับกฎอื่น ๆ มันก็ไม่ทำงาน กฎอื่นสามารถแทนที่กฎของฉันได้หรือไม่ ? พฤติกรรมแปลกๆ อีกประการหนึ่ง > เมื่อฉันเพิ่งล้าง / แก้ไขกฎและรีสตาร์ท auditd ก็ยังใช้งานไม่ได้ ฉันต้องรีบูตทั้งเซิร์ฟเวอร์
นี่คือกฎทั้งหมดที่มันไม่ได้ผลภายใน
-งานที่ไม่เคย
-a เสมอ ออก -F arch=b64 -S adjtimex -S settimeofday -k เวลาเปลี่ยน
-a เสมอ ออก -F arch=b32 -S adjtimex -S settimeofday -S stime -k เวลาเปลี่ยนแปลง
-a เสมอ ออก -F arch=b64 -S clock_settime -k เวลาเปลี่ยน
-a เสมอ ออก -F arch=b32 -S clock_settime -k เวลาเปลี่ยน
-w /etc/localtime -p wa -k เวลาเปลี่ยน
-w /var/log/sudo.log -p wa -k การกระทำ
-w /etc/sudoers -p wa -k ขอบเขต
-w /etc/sudoers.d/ -p wa -k ขอบเขต
-w /var/run/utmp -p wa -k เซสชัน
-w /var/log/wtmp -p wa -k ล็อกอิน
-w /var/log/btmp -p wa -k ล็อกอิน
-w /var/log/lastlog -p wa -k ล็อกอิน
-w /var/run/faillock/ -p wa -k ล็อกอิน
-w /etc/selinux/ -p wa -k นโยบาย MAC
-w /usr/share/selinux/ -p wa -k นโยบาย MAC
-a เสมอ ออก -F arch=b64 -S sethostname -S setdomainname -k system-locale
-a เสมอ ออก -F arch=b32 -S sethostname -S setdomainname -k system-locale
-w /etc/issue -p wa -k system-locale
-w /etc/issue.net -p wa -k system-locale
-w /etc/hosts -p wa -k system-locale
-w /etc/sysconfig/network -p wa -k system-locale
-w /etc/sysconfig/network-scripts/ -p wa -k system-locale
-w /etc/group -p wa -k ตัวตน
-w /etc/passwd -p wa -k เอกลักษณ์
-w /etc/gshadow -p wa -k เอกลักษณ์
-w /etc/shadow -p wa -k เอกลักษณ์
-w /etc/security/opasswd -p wa -k เอกลักษณ์
-w /usr/bin/logger -p x -k LOGGER_CALL
-w /tmp/alert.log -p wa -k การแจ้งเตือน
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
