Audit の設定
監査システム
Linux の Audit システムは、システムのセキュリティー関連情報を追跡する方法を提供します。事前設定されたルールに基づき、Audit は、ログエントリーを生成し、システムで発生しているイベントに関する情報をできるだけ多く記録します。この情報は、ミッションクリティカルな環境でセキュリティーポリシーの違反者と、違反者によるアクションを判断する上で必須のものです。
ログの保持数変更
インストールして起動すれば基本動く
監査ログは/var/log/auditd配下に出力される
ログファイルの保持期間やサイズはコンフィグで調整可能
Auditで利用するログ領域の最大数 max_log_file をMB単位、num_logs は max_log_file_action が ROTATE に設定されている場合に最低限保持するログファイル数を指定できる
max_log_file と、どの程度のログファイルサイズが生成されるか確認しつつ適切な値を設定する
# vim /etc/auditd/auditd.conf
max_log_file = 50
num_logs = 10
レポート出力コマンド
例)一週間のログを出力
# /sbin/aureport -au -ts week-ago
cronで定期的に実行する場合、cron経由だと上記コマンドでは上手く動かないので注意
オプションでファイル指定するときディレクトリを指定しないと指定のログファイル分しかレポートしてくれない
# /sbin/aureport -au -ts week-ago -if /var/log/audit
サービスの起動
起動していない場合は起動設定
# systemctl enable auditd
# systemctl start auditd