研究audit日志规则,本文为进程配置。
# 审计日志文件的完整路径。如果您配置守护进程向除默认/var/log/audit/外的目录中写日志文件时,
# 一定要修改它上面的文件权限,使得只有根用户有读、写和执行权限。所有其他用户都不能访问这个
# 目录或这个目录中的日志文件。
log_file =/var/log/audit/audit.log
# 写日志时要使用的格式。当设置为RAW时,数据会以从内核中检索到的格式写到日志文件中。当设置
# 为NOLOG时,数据不会写到日志文件中,但是如果用dispatcher选项指定了一个,则数据仍然会发送
# 到审计事件调度程序中
log_format = RAW
# 日志所属组
log_group = root
# 审计应采用多少优先级推进守护进程。必须是非负数。0表示没有变化。
priority_boost = 4
# 多长时间向日志文件中写一次数据。值可以是NONE、INCREMENTAL、DATA和SYNC之一。如果设置为
# NONE,则不需要做特殊努力来将数据 刷新到日志文件中。如果设置为INCREMENTAL,则用freq选项
# 的值确定多长时间发生一次向磁盘的刷新。如果设置为DATA,则审计数据和日志文件一直是同步的。
# 如果设置为SYNC,则每次写到日志文件时,数据和元数据是同步的。
flush = INCREMENTAL
# 如果flush设置为INCREMETNAL,审计守护进程在写到日志文件中前从内核中接收的记录数
freq = 20
#max_log_file_
Linux auditd.conf详解
最新推荐文章于 2024-02-27 21:15:00 发布