Wir haben der Konfigurationsdatei /etc/audit/rules.d/audit.rules neue Audit-Regeln hinzugefügt, wie unten gezeigt:
# vi /etc/audit/rules.d/audit.rules
-a always,exit -F arch=b64 -S adjtimex -S settimeofday -S stime -S clock_settime -k time-change
-a always,exit -F arch=b64 -S sethostname -S setdomainname -k system-locale
Diese Konfigurationen spiegeln sich jedoch nicht wider.
# auditctl -l
No rules
Hinweis: Unter CentOS/RHEL 6 ist die Konfigurationsdatei /etc/audit/audit.rules anstelle von /etc/audit/rules.d/audit.rules.
Lösung
1. Das erste, was Sie hier überprüfen müssen, ist die Syntax der Regel und korrigieren Sie sie, wenn sie falsch ist. Sie können beispielsweise die Regel, die Sie in der Konfigurationsdatei konfiguriert haben, manuell ausführen. Der Syntaxfehler sollte in der Befehlszeile angezeigt werden, wenn Sie den Befehl ausführen. Zum Beispiel:
# auditctl -a always,exit -F arch=b64 -S adjtimex -S settimeofday -S stime -S clock_settime -k time-change
Syscall name unknown: stime
The audit system is in immutable mode, no rule changes allowed
2. Korrigieren Sie das Regelargument „-S time“ und starten Sie das System neu. Der Neustart ist erforderlich, um den unveränderlichen Modus auditd zu deaktivieren.
3. Nach dem Neustart werden alle Überwachungsregeln berücksichtigt.
# auditctl -l
-a always,exit -F arch=x86_64 -S adjtimex,settimeofday,time,clock_settime -F key=time-change
-a always,exit -F arch=x86_64 -S sethostname,setdomainname -F key=system-locale
Wenn Sie in der Konfigurationsdatei /etc/audit/rules.d/audit.rules die falsche Syntax festlegen, stoppen Sie auditd die Regelregistrierung. Daher werden alle Regeln nach einer falschen Syntaxzeile nicht berücksichtigt.
Heute haben wir erfahren, wie unsere Support-Techniker bei der Konfiguration von Audit-Regeln Fehler beheben.