Cómo definir reglas del sistema de archivos de auditoría en RHEL/CentOS/Rocky Linux

Las reglas de auditoría del sistema de archivos en RHEL/CentOS/Rocky Linux definen qué operaciones deben registrarse y cuáles no. Al crear y administrar estas reglas, puede controlar el nivel de detalle y la sensibilidad de los registros de auditoría generados por el sistema.

Para definir reglas del sistema de archivos de auditoría en RHEL/CentOS/Rocky Linux, siga estos pasos:

1. Abra una ventana de terminal.

2. Utilice el siguiente comando para crear una nueva regla del sistema de archivos de auditoría:

```

auditctl -a

```

Dónde:

* `` especifica las condiciones bajo las cuales se debe activar la regla. Las opciones más comunes incluyen:

* `-w`:observa la ruta especificada para detectar cambios.

* `-p`:Especifica los permisos a auditar.

* `-k`:Especifica un nombre de clave para la regla. Esta clave se utilizará para buscar la regla en los registros de auditoría.

* `` es la ruta absoluta al directorio o archivo que desea auditar.

3. Por ejemplo, para observar el directorio `/etc` en busca de cambios y registrar cualquier intento de modificar, eliminar o crear archivos en ese directorio, usaría el siguiente comando:

```

auditctl -w /etc -p wa

```

4. Una vez que la regla se haya creado correctamente, puede verificarla utilizando el siguiente comando:

```

auditoría -l

```

5. Este comando enumerará todas las reglas de auditoría activas, incluida la que acaba de crear.

6. También puede modificar o eliminar reglas de auditoría usando el comando `auditctl` con las opciones `-e` y `-d`.

Al definir y administrar las reglas del sistema de archivos de auditoría, puede asegurarse de que su sistema registre los eventos que son más importantes para usted y que los registros de auditoría generados por el sistema sean precisos y completos. Esta información puede ser invaluable en caso de un incidente de seguridad o una auditoría de cumplimiento.