CentOS の監査ログを使用してシステムへの不正アクセスを監視する方法

CentOSシステムへの不正アクセスを確認するために監査ログを使用して確認する方法を次に示します。

1. /etc/audit/audit.rules

-w /var/log/secure -p wa -k unauthorized-access

1. 監査ルールを再読み込みします。新しいルールを有効にするには次のコマンドを実行します。

sudo auditctl -R /etc/audit/audit.rules

1. /var/log/audit/audit.log

sudo less /var/log/audit/audit.log

1. 監査ログをフィルタする：不正アクセスに関するログのみを表示するには、以下のコマンドでログをフィルタできます：

sudo ausearch -k unauthorized-access

これにより、CentOS システムへの不正アクセスを監視するために監査ログを設定できます。監査ログでは大量の記録が生成される可能性があるため、ログファイルを定期的に確認し、監視を自動化する方法を実装することをお勧めします。