Я устанавливаю правила аудита в /etc/audit/audit.rules.
В качестве требования: система аудита должна быть настроена для аудита всех административных, привилегированных и защитных действий.
Поэтому я добавляю одну строчку в /etc/audit/auditd.rules:
-a exit,always -S stime -S acct -S reboot -S swapon
Однако после перезапуска audit.d путем перезапуска службы auditd:
There is error comeout:
Stopping auditd: [ OK ]
Starting auditd: [ OK ]
Syscall name unknown: stime
There was an error in line 14 of /etc/audit/audit.rules
Кажется, что стыд невозможно распознать. Может ли кто-нибудь помочь мне выяснить, что не так с моим добавленным правилом? Большое спасибо!
Случайно у вас 64 битная? Возможно, вам потребуется определить архитектуру.
Итак -a выход, всегда -F arch = b32 -S stime
Дай мне знать.
Разве ты не должен добавить это к /etc/audit/audit.rules
вместо?