Linux Audit 시스템에 대한 규칙을 생성합니다. 규칙을 처음으로 테스트하는 경우, auditctl 명령을 사용하면 규칙을 즉시 추가하거나 제거할 수 있습니다.
**참고:**다음 예는 EFS 파일 시스템에 대한 규칙을 보여줍니다.
다음 명령을 사용하면 해당 파일 시스템의 마운트 위치에 대한 모든 작업을 모니터링합니다.
$ auditctl -w /home/ec2-user/efs -k efs_changes
다음은 감사 시스템에서 로그하도록 구성할 수 있는 작업의 예시입니다.
$ mkdir dir1
$ touch file1
$ touch file2
$ mv file1 file3
$ rm -f file2
$ chmod 600 file3
$ rmdir dir1
$ rm -f file3
감사 로그를 보려면 ausearch -k efs_changes 명령을 실행하세요. 다음의 예시는 3단계의 예제 작업을 기반으로 mkdir 명령에 대한 감사 로그를 보여줍니다.
time->Thu Jan 9 21:30:59 2020
type=PROCTITLE msg=audit(1578605459.080:127433): proctitle=6D6B6469720064697231
type=PATH msg=audit(1578605459.080:127433): item=1 name="dir1" inode=4989235361872937641 dev=00:16 mode=040755 ouid=0 ogid=0 rdev=00:00 nametype=CREATE cap_fp=0000000000000000 cap_fi=0000000000000000 cap_fe=0 cap_fver=0
type=PATH msg=audit(1578605459.080:127433): item=0 name="/home/ec2-user/efs/audit" inode=12759736523397539955 dev=00:16
mode=040755 ouid=0 ogid=0 rdev=00:00 nametype=PARENT cap_fp=0000000000000000 cap_fi=0000000000000000 cap_fe=0 cap_fver=0
type=CWD msg=audit(1578605459.080:127433): cwd="/home/ec2-user/efs/audit"
type=SYSCALL msg=audit(1578605459.080:127433): arch=c000003e syscall=83 success=yes exit=0 a0=7fffe6aca6e1 a1=1ff a2=1ff a3=7fffe6ac7720 items=2 ppid=18661 pid=2948 auid=500 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts1 ses=18369 comm="mkdir" exe="/bin/mkdir" key="efs_changes"
이 예시는 원시 감사 로그를 보여줍니다. 해당 감사 로그는 각 작업에 대한 많은 양의 정보를 포함합니다.
감사 로그에서 더 짧은 출력을 생성하려면 aureport 명령을 실행하세요. 다음 버전에서는 여전히 모든 작업이 표시됩니다.
$ ausearch -k efs_changes | aureport -f -i
10118. 01/09/2020 21:36:29 file1 open yes /bin/touch ec2-user 127450
10119. 01/09/2020 21:36:29 dir1 mkdir yes /bin/mkdir ec2-user 127449
10120. 01/09/2020 21:36:29 file2 open yes /bin/touch ec2-user 127451
10121. 01/09/2020 21:36:29 file3 rename yes /bin/mv ec2-user 127452
10122. 01/09/2020 21:36:29 file2 unlinkat yes /bin/rm ec2-user 127453
10123. 01/09/2020 21:36:29 file3 fchmodat yes /bin/chmod ec2-user 127454
10124. 01/09/2020 21:36:29 dir1 rmdir yes /bin/rmdir ec2-user 127455
10125. 01/09/2020 21:36:35 file3 unlinkat yes /bin/rm ec2-user 127456
모든 작업을 로그할 필요는 없다는 점을 염두에 두세요. 예를 들어 삭제 관련 작업만 로그하기 위한 규칙을 생성할 수 있습니다.
auditctl -a always,exit -F arch=b64 -F dir=/home/ec2-user/efs -S unlink -S unlinkat -S rename -S renameat -S rmdir -k efs_changes
3단계의 예제 명령을 실행하면 지정된 삭제 관련 명령만이 로그에 표시됩니다.
10126. 01/09/2020 22:17:08 file3 rename yes /bin/mv ec2-user 127519
10127. 01/09/2020 22:17:08 file2 unlinkat yes /bin/rm ec2-user 127520
10128. 01/09/2020 22:17:08 dir1 rmdir yes /bin/rmdir ec2-user 127521
10129. 01/09/2020 22:17:09 file3 unlinkat yes /bin/rm ec2-user 127522