“Conocimiento Sistemas>Linux

Cómo instalar y configurar el servicio Auditd en Rocky Linux 8

2011/1/4
## Instalar el servicio auditado

Para instalar el servicio auditd, ejecute el siguiente comando:

```

sudo yum instalar auditado

```

Configurar el servicio de auditoría

Una vez instalado el servicio auditd, puede configurarlo editando el archivo `/etc/audit/auditd.conf`.

Habilitar servicio auditado

Para habilitar el servicio auditado, establezca el parámetro "enabled" en "1".

```

[global]

habilitado =1

```

Establecer la ruta del archivo de registro de auditoría y el tamaño máximo

El parámetro `log_file` especifica la ruta al archivo de registro de auditoría y el parámetro `max_log_file` especifica el tamaño máximo del archivo de registro de auditoría.

```

[global]

log_file =/var/log/audit/audit.log

max_log_file =50M

```

Configurar reglas de auditoría

Las reglas de auditoría definen qué eventos debe registrar el servicio auditado. Puede configurar reglas de auditoría agregándolas al archivo `/etc/audit/audit.rules`.

La siguiente regla de ejemplo registrará todos los intentos fallidos de inicio de sesión:

```

-w /var/log/faillog -p wa -k inicios de sesión

```

Reiniciar el servicio Auditd

Después de haber realizado cambios en la configuración auditada, debe reiniciar el servicio auditado para que los cambios surtan efecto.

```

sudo systemctl reiniciar auditado

```

Verificar servicio auditado

Para verificar que el servicio auditd se esté ejecutando, ejecute el siguiente comando:

```

estado de sudo systemctl auditado

```

Si el servicio auditd se está ejecutando, debería ver un resultado similar al siguiente:

```

● auditd.service - LSB:Iniciar/detener el servicio de auditoría de Linux

Cargado:cargado (/etc/rc.d/init.d/auditd)

Activo:activo (en ejecución) desde el jueves 10 de junio de 2021 a las 09:23:07 UTC; Hace 2 segundos

Documentos:man:systemd-sysv-generator(8)

PID principal:16252 (auditado)

Tareas:1 (límite:11347)

Grupo CG:/system.slice/auditd.service

├─16252 auditado

└─16258 dormir

10 de junio 09:23:07 rockylinux auditd[16252]:auditd_start:inicializando el servicio de auditoría del kernel

10 de junio 09:23:07 rockylinux auditd[16252]:auditd_configure:configuración del filtro auditd para reglas en /etc/audit/audit.rule

```

Página anterior:
Página siguiente:
Linux
Cómo clonar un disco duro con Linux
Cómo configurar un servidor NTP para RHEL5
Cómo cambiar la velocidad de una tarjeta de interfaz de red en RHEL5
Cómo cambiar un remoto LIRC tipo
Cómo arreglar una desconocida LVM metadatos encabezado en Ubuntu 10.04
Mi Ubuntu Tema Crashed
Cómo compilar un núcleo
Cómo eliminar una carpeta y una subcarpeta en Linux
Los últimos artículos de equipo
Artículos de la popular computadora
Más categorías
Conocimiento de la computadora © http://www.ordenador.online