Note que isto é escrito do ponto de vista do Solaris, mas ainda se aplica ao Linux, mas alguns comandos e configurações serão diferentes - o princípio geral é o mesmo.
A primeira etapa é ativar a auditoria, o que é feito executando /etc/security/bsmconv e respondendo y à questão e, em seguida, reinicialize para carregar o módulo do kernel que é necessário para que a auditoria ocorra.
A próxima etapa é configurar o que você deve auditar, o que é feito em /etc/security/audit_control . Lá você lista quais classes de eventos devem ser auditadas e, como você não forneceu uma lista completa, eu lhe darei uma estimativa aproximada do que você pode precisar:
flags:lo,ex,fm,fd,ad
naflags:na,lo,ad
Isso fará auditoria de eventos de login e logout, execuções, modificações e exclusões de arquivos e eventos administrativos. A lista completa de classes de auditoria pode ser encontrada em /etc/security/audit_class . As classes que devem ser configuradas são determinadas pela política de segurança de sua empresa, por isso, certifique-se de analisá-la.
Finalmente, diga ao daemon de auditoria para carregar as mudanças que você acabou de fazer usando audit -s . Isso gerará uma trilha de auditoria em /var/audit , que pode ser pesquisada classificada usando o comando auditreduce e, em seguida, ser traduzida em formato legível por humanos pelo comando praudit .
Você também deve configurar a rotação de log (no cron) usando audit -n para evitar que o arquivo de auditoria fique muito grande.