重要なファイルへのファイル・アクセスのリアルタイム・モニター

以下のステップを使用して、重要なファイルへのファイル・アクセスをリアルタイムでモニターすることができます。

1. 変更をモニターする重要なファイルのリストをセットアップします。例えば、/etc 内のすべてのファイルをモニターする場合、次のように objects ファイル内で FILE_Write イベント用にそれらを構成します。

   find /etc -type f | awk '{printf("%s:¥n¥tw = FILE_Write¥n¥n",$1)}' >> /etc/security/audit/objects

2. すべてのファイル書き込みをリストするように、ストリーム監査をセットアップします。 (この例では、コンソールへのすべてのファイル書き込みがリストされますが、 実稼働環境では、バックエンドでイベントを侵入検知システムに送信することもできます。) /etc/security/audit/streamcmds ファイルは、次のようになります。

   /usr/sbin/auditstream | /usr/sbin/auditselect -e "event == FILE_Write" |
   auditpr  -hhelpPRtTc -v > /dev/console &

3. 次のように、/etc/security/audit/config 内で STREAM モード監査をセットアップし、ファイル書き込みイベントのクラスを追加して、そのクラスで監査するすべてのユーザーを構成します。

   start:
           binmode = off
           streammode = on
   
   stream:
           cmds = /etc/security/audit/streamcmds
   
   classes:
           filemon = FILE_write
   
   users:
           root = filemon
           afx = filemon
           ...

4. この時点で audit start を実行します。 すべての FILE_Write イベントがコンソールに表示されます。