Linux audit【规则设置篇】

前面两篇博文介绍了Linux audit的架构，以及守护auditd的配置。让audit真正的为我们服务，还需要配置audit的规则，也就是说我们要audit什么样的事件，具体什么事件需要audit来监控跟实际的应用有关。这里主要介绍audit的规则配置工具auditctl和文件配置方法/etc/audit/audit.rules.

     这里首先介绍auditctl的应用，具体使用指南查看man auditctl。auditctl的man 描述说明这个工具主要是用来 控制audit系统行为， 获取audit系统状态， 添加或者删除audit系统的规则。控制audit系统行为和获取audit系统状态参数：

• -s 或者auditd 状态 auditctl -s 显示：AUDIT_STATUS: enabled=1 flag=1 pid=2792 rate_limit=0 backlog_limit=320 lost=0 backlog=0
• -e [0|1|2] 设置audit使能标识， 0 表示临时关闭audit，1 表示启用audit，2表示锁住audit规则配置文件，这条命令一般设这在audit.rules的最后一条，任何人试图修改audit规则都会被记录，并且禁止修改。我们先运行auditctl -e 1 显示：AUDIT_STATUS: enabled=1 flag=1 pid=2792 rate_limit=0 backlog_limit=320 lost=0 backlog=0；我们运行auditctl -e 0 显示AUDIT_STATUS: enabled=0 flag=1 pid=2792 rate_limit=0 backlog_limit=320 lost=0 backlog=0 这里我们看到不同的参数只是修改了enabled项
• -f [0|1|2]控制失败标识。也就flag位，这个位的主要作用是This option lets you determine how you want the kernel  to  handle  critical  errors
• -r 设置速率，也就是每秒钟消息数目，非0的话如果系统在1秒钟大于设定的值，就会触发系统flag标识的行为
• -b 设置backlog_limit

audit系统规则设置：

文件系统audit设置：

• -w path path是一个文件或者目录的绝对路径。
• -p [r|w|x|a] 和-w一起使用，监测用户对这个目录的读 写 执行 或者属性变化如时间戳变化。
• -k 指定一个key，在ausearch的时候使用

系统调用的监控：

• -a 添加一条系统调用监控规则
• -S 后面接需要监测的系统调用的名称

显示规则和移除规则：

• -D 删除所有规则
• -d 删除一条规则和-a对应
• -W 删除一条规则和-w对应

• -l 列出所有规则

来源：http://blog.chinaunix.net/uid-20786165-id-3168258.html