[MASOCH-L] Ajuda com Audit

Rejaine Monteiro rejaine at bhz.jamef.com.br
Wed Jul 4 12:24:29 -03 2012


Ola pessoal,

Estou precisando habilitar o Audit em um servidor com Suse, para tentar
identificar algumas pastas que estão sumindo misteriosamente, mas não
estava funcionando.

Daí tentei fazer um teste seguindo um tutorial para um exemplo básico
usando audit para monitorar o arquivo /etc/passwd , só a título de
teste, e nem isso também rolou...

Eu executei o seguinte:

Como root, executei:
$ auditctl -w /etc/passwd -p war -k password-file
Chequei que o auditd está rodando:
$  chkconfig auditd
auditd  on

Abri outra console como usuário normal e executei:
$ grep 'qqcoisa' /etc/passwd
$ vi /etc/passwd

Na console como root, executei o comando abaixo para tentar visualizar
as tentativas de alterações no arquivo e nada aparece:

$ ausearch -f /etc/passwd
<no matches>
$ ausearch -k password-file
<no matches>

Enfim, o que estou fazendo errado??





More information about the masoch-l mailing list