Проверьте наличие службы на Unix-хосте: auditctl -l, если служба не установлена - будет выведено сообщение: command not found
Для установки выполните команду:
### Debian, Ubuntu (apt-get)
apt-get install auditd audispd-plugins
### RHEL (yum)
yum install audit audispd-plugins
Скачайте на машину файл правил для AuditD (данные параметры отключают другие правила AuditD и добавляют список необходимых):
Добавьте правила в директорию AuditD:
cp audit.rules /etc/audit/rules.d/
Перезапустите сервис AuditD:
systemctl restart auditd.service
<aside> <img src="/icons/info-alternate_blue.svg" alt="/icons/info-alternate_blue.svg" width="40px" />
Из-за собственной ротации AuditD может останавливать сервис с ошибкой: Audit daemon rotating log files
В таком статусе лог файл не пополняется, рекомендуется использовать системную ротацию Logrotate.
</aside>
Отключение собственной ротации AuditD:
В конфигурационном файле исправить значение: max_log_file_action = **ignore**:
vi /etc/audit/auditd.conf
Настройка ротации через Logrotate:
Создайте фал конфигурации:
touch /etc/logrotate.d/auditd
chmod 644 /etc/logrotate.d/auditd; chown root:root /etc/logrotate.d/auditd
vi /etc/logrotate.d/auditd
Добавьте строки в файл конфигурации /etc/logrotate.d/auditd:
# daily rotation keep last 2 days and compress old
/var/log/audit/audit.log {
daily
missingok
notifempty
sharedscripts
rotate 2
compress
delaycompress
postrotate
/usr/bin/systemctl kill -s USR1 auditd.service >/dev/null 2>&1 || true
endscript
}
Перезапустите сервисы AuditD и Logrotate:
systemctl restart logrotate.service
systemctl restart auditd.service