Linux Audit Server restartuje się

0

Używam AuditD na Centos 6.5.

Czy istnieje sposób na sprawdzenie ponownego uruchomienia serwera - kto i kiedy serwer zostanie zrestartowany? Więc jeśli się zaloguję i uruchomię:

sudo reboot 

Powinienem zobaczyć wpis dziennika w /var/log/audit/audit.log z czymś takim:

type=CMD msg=audit(1484758210.821:630): user pid=2361 uid=101 auid=101 subj=system_u:system_r:unconfined_t:s0-s0:c0.c1023 exe="/sbin/reboot"
Ken J
źródło

Odpowiedzi:

1

Dodaj regułę do pliku audit.rules

-w /sbin/shutdown -p x -k power
djsmiley2k
źródło
0

Możesz spróbować przejrzeć również dzienniki, jeśli nie możesz lub nie chcesz konfigurować reguł inspekcji:

sudo grep sudo /var/log/auth.log

Będą tam wszystkie wykonywane polecenia sudo, więc możesz je znaleźć, szukając opcji „restart” lub „zamknięcie”.

Tim Connor
źródło