Linuxの監査ログを有効にするには
Linuxの監査ログを有効にするには、次の手順を実行します。
- 監査ツールのインストール: まず、Linuxシステムにauditd(監査デーモン)パッケージがインストールされていることを確認してください。インストールされていない場合は、Linuxディストリビューションに適したパッケージマネージャーを使用してインストールできます。たとえば、Ubuntuの場合は次のコマンドを使用できます: sudo apt-get install auditd。
- 監査サービスの有効化: ほとんどの Linux ディストリビューションでは、監査サービスはデフォルトで有効になっています。次のコマンドを使用して監査サービスのステータスを確認できます: systemctl status auditd. サービスが実行されていない場合は、次のコマンドを使用して起動できます: sudo systemctl start auditd.
- 監査ルールの設定:監査ルールは、記録する必要があるシステムアクティビティを定義します。監査ルールファイルを変更することで、これらのルールを設定できます。ほとんどの Linux ディストリビューションでは、監査ルールファイルは「/etc/audit/audit.rules」にあります。テキストエディター(例:vi または nano)を使用してこのファイルを開いて編集できます。
- 特定のディレクトリやファイルのアクセスだけ記録したい場合は、以下のルールサンプルをファイルに追加すればOKです。 -w /path/to/directory -p wa 。ここでは、 /path/to/directory は監視したいディレクトリのパスです。
- イベントやプロセスログを取りたい場合は、ルールとして次のような設定が考えられます。-a entry,always -S execve -F uid=0。このルールを設定すると、rootユーザーで実行されたプロセスのexecveがログに出力されます。
- 必要な監査ルールを追加してください。追加が完了したらファイルを保存して閉じます。
- sudo systemctl reload auditd
Linux の監査ログ機能をオンにすることができました。システムは、監査ルールで定義したアクティビティのログの記録を開始します。以下のコマンドを使用して監査ログを確認できます。sudo ausearch -f /path/to/directory。ここで /path/to/directory は表示したいディレクトリパスです。