Вопрос: Как создать правила аудита для запуска или остановки служб мониторинга?
Чтобы отслеживать запуск и остановку службы, вам понадобятся два правила аудита.
Добавьте следующие правила в /etc/audit.rules или /etc/audit/rules.d/audit.rules в зависимости от используемой версии ОС
(1) Правило для контроля запуска или выполнения услуги.
Для rsyslogd правило может выглядеть следующим образом.
-w /sbin/rsyslogd -p x -k rsyslog_run
(2) Правило мониторинга системного вызова остановки для службы. Для rsyslogd правило может выглядеть так:
-a exit,always -F arch=b64 -k rsyslog_exit
После реализации этих правил вам нужно будет перезапустить службу auditd.
Примечание: перезапуск systemctl audd не будет работать в RHEL7, потому что ядро обрабатывает auditd особым образом. Вам нужно будет остановить и запустить службу.
Для CentOS/RHEL 7
# systemctl stop auditd # systemctl start auditd
Для CentOS/RHEL 6
# service restart auditd
Проверьте правила, которые в данный момент загружены:
# auditctl -l
Проверьте логи
Вы сможете найти журналы с помощью следующей команды:
# grep rsyslogd /var/log/audit/audit.log