Benutzer-Werkzeuge
admin_grundlagen:auditd
Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen gezeigt.
| Beide Seiten, vorherige Überarbeitung Vorherige Überarbeitung Nächste Überarbeitung | Vorherige Überarbeitung | ||
|
admin_grundlagen:auditd [2021/12/10 14:04] ingo_wichmann [Dateiänderungen überwachen mit auditd] |
admin_grundlagen:auditd [2025/04/04 12:40] (aktuell) ingo_wichmann |
||
|---|---|---|---|
| Zeile 11: | Zeile 11: | ||
| -w /etc/passwd -p wa | -w /etc/passwd -p wa | ||
| </file> | </file> | ||
| + | systemctl kill --signal=SIGHUP auditd.service | ||
| + | oder | ||
| service auditd restart | service auditd restart | ||
| + | |||
| + | Prüfen, ob reload/restart geklappt hat: | ||
| + | systemctl status auditd.service | ||
| + | journalctl -eu auditd.service | ||
| ===== testen ===== | ===== testen ===== | ||
| touch /etc/passwd | touch /etc/passwd | ||
| tail /var/log/audit/audit.log | tail /var/log/audit/audit.log | ||
| - | ausearch -f /etc/passwd | + | ausearch -i -f /etc/passwd |
| useradd -m klaus | useradd -m klaus | ||
| tail /var/log/audit/audit.log | tail /var/log/audit/audit.log | ||
| - | ausearch -f /etc/passwd | + | ausearch -i -f /etc/passwd |
| ===== Auditd für Änderungen sperren ===== | ===== Auditd für Änderungen sperren ===== | ||
admin_grundlagen/auditd.1639145082.txt.gz · Zuletzt geändert: 2021/12/10 14:04 von ingo_wichmann
Seiten-Werkzeuge
Falls nicht anders bezeichnet, ist der Inhalt dieses Wikis unter der folgenden Lizenz veröffentlicht: CC Attribution-Noncommercial-Share Alike 4.0 International
