重要なファイルへのファイル・アクセスのリアルタイム・モニター
以下のステップを使用して、重要なファイルへのファイル・アクセスをリアルタイムでモニターすることができます。
次のステップを実行します。
- 変更をモニターする重要なファイルのリストをセットアップします。例えば、/etc 内のすべてのファイルをモニターする場合、次のように objects ファイル内で FILE_Write イベント用にそれらを構成します。
find /etc -type f | awk '{printf("%s:¥n¥tw = FILE_Write¥n¥n",$1)}' >> /etc/security/audit/objects
- すべてのファイル書き込みをリストするように、ストリーム監査をセットアップします。 (この例では、コンソールへのすべてのファイル書き込みがリストされますが、
実稼働環境では、バックエンドでイベントを侵入検知システムに送信することもできます。) /etc/security/audit/streamcmds ファイルは、次のようになります。
/usr/sbin/auditstream | /usr/sbin/auditselect -e "event == FILE_Write" | auditpr -hhelpPRtTc -v > /dev/console &
- 次のように、/etc/security/audit/config 内で STREAM モード監査をセットアップし、ファイル書き込みイベントのクラスを追加して、そのクラスで監査するすべてのユーザーを構成します。
start: binmode = off streammode = on stream: cmds = /etc/security/audit/streamcmds classes: filemon = FILE_write users: root = filemon afx = filemon ...
- この時点で audit start を実行します。 すべての FILE_Write イベントがコンソールに表示されます。