Eu habilitei o serviço auditd usando a seguinte configuração para rastrear todas as atividades do usuário (pertencentes ao grupo ID 555) no RedHat OS:
vim /etc/audit/audit.rules
-a always,exit -F gid=555 -F arch=b64 -S execve
-a always,exit -F gid=555 -F arch=b32 -S execve
vim /etc/audisp/plugins.d/syslog.conf
active = yes
args = LOG_LOCAL6
vim /etc/rsyslog.conf
local6.* @@<IP address>
No entanto, para cada comando executado, vários logs são gerados (geralmente 3 logs) e não há nenhum log exclusivo que inclua todas as informações necessárias, por exemplo:
É possivel configurar o auditd para gravar / encaminhar apenas um log para cada comando executado? Por exemplo, se o usuário foobar executar rm -f /root/test.txt , o log escrito / encaminhado deverá ser algo assim:
2017-05-10 10:14 <SourceIP> foobar@<DestinationIP> rm -f /root/test.txt
Obrigado Francesco
Tags logs rsyslog audit rhel linux-audit