Настройка конфигурации аудита

Конфигурационный файл находится по адресу /etc/audit/auditd.conf. Его содержимое по умолчанию подходит для работы в Системе.

Некоторые из наиболее важных конфигурационных параметров:

• max_log_file — максимальный размер журнального файла аудита в мегабайтах;
• num_logs – максимальное количество журнальных файлов аудита;
• log_file – путь к журнальному файлу аудита;
• log_group – группа, которой принадлежит журнальный файл аудита;
• write_logs – записывать (опция yes) или не записывать (опция no) события аудита в файл /var/log/audit/audit.log.

Примечание – Если установлена опция no, то события аудита будут попадать в systemd-journald, но не будут дублироваться в еще один файл. Утилита ausearch читает именно этот файл, поэтому ей нельзя будет пользоваться.

Больше информации можно получить по справке командой:

man auditd.conf