审计配置

Question

我试图在Ubuntu12.04.5上使用auditd设置文件系统审计。我有一个正在导出的文件系统，称为/exports/data，我需要对其进行审计。我制定了以下规则：

LIST_RULES: exit,always dir=/exports/data (0x14) perm=wa

每当我在NFS服务器上的目录中做任何事情时，审计事件就会正常地被记录下来。每当我在NFS客户端上做任何事情时，都不会被记录下来。在审核NFS事件时，我需要设置哪些规则/ syscall？

Answer 1

auditd子系统监视系统调用，NFS客户端在各自的主机上进行系统调用。(因此auditd无法检测主机上的系统调用，而不是其本身。)

要监视客户端的事件，请在远程主机上配置auditd。使用这些主机上的audisp-remote插件向使用audispd syslog插件的中央日志主机发送与审计相关的消息。然后，审计日志将在一个聚合位置上可用。

来自audisp-remote手册：

audispd是审计事件dispatcher守护进程audispd的插件，它预先形成对聚合日志服务器的远程日志记录。