Linux監査サーバーの再起動


0

Centos 6.5でAuditDを実行しています。

サーバの再起動を監査する方法はありますか - サーバが再起動されたのは誰ですか?だから私はログインして実行した場合:

sudo reboot 

/var/log/audit/audit.logに次のようなログエントリが表示されます。

type=CMD msg=audit(1484758210.821:630): user pid=2361 uid=101 auid=101 subj=system_u:system_r:unconfined_t:s0-s0:c0.c1023 exe="/sbin/reboot"

回答:


1

audit.rulesにルールを追加してください。

-w /sbin/shutdown -p x -k power

0

監査ルールを設定できない場合や設定したくない場合も、ログを調べてみることができます。

sudo grep sudo /var/log/auth.log

実行されたすべてのsudoコマンドはそこにあるので、 'reboot'または 'shutdown'を探すことによってそれを見つけることができます。

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.