Création de la page

HowtoAuditd.md

@@ -0,0 +1,66 @@
+---
+categories: web
+title: Howto Auditd
+...
+
+Le Linux Auditing System est framework d'audit des évènements systèmes intégré au noyau Linux.
+
+Son composant en userspace est fournit par le paquet Debian `auditd`, qui fournit un service du même nom.
+
+Il permet, par exemple, de surveiller et loguer l'exécution de processus, la création ou suppression de fichiers...
+
+
+## Installation
+
+~~~
+# apt install auditd
+~~~
+
+
+## Configuration
+
+Auditd se configure avec des règles, qui vont loguer les évènements demandés.
+
+Les règles doivent se placer dans des fichiers `/etc/audit/rules.d/*.rules`.
+
+**Attention :** Selon des types d'évènement logués, les logs peuvent devenir très volumineux.
+
+
+### Surveiller les renommages et suppressions de fichiers dans un répertoire
+
+Créer un fichier `/etc/audit/rules.d/rm.rules` contenant :
+
+~~~
+## First rule - delete all
+-D
+
+## Increase the buffers to survive stress events.
+## Make this bigger for busy systems
+-b 8192
+
+## This determine how long to wait in burst of events
+--backlog_wait_time 0
+
+## Set failure mode to syslog
+-f 1
+
+# Monitor rename and deletion of files in directory <PATH>
+-a always,exit -F dir=<PATH> -S unlink -S unlinkat -S rename -S renameat -S rmdir -k <MY_CUSTOM_VAR>
+~~~
+
+Et recharger le service :
+
+~~~
+systemctl status auditd
+~~~
+
+## Visualiser les évènements loggés
+
+Les logs se trouvent dans `/var/log/audit/audit.log`).
+
+On peut utiliser `ausearch` qui fournit des options de recherche avancées. Par exemple, si on a définit un mot clé dans la règle :
+
+~~~
+ausearch -k <MY_CUSTOM_VAR>
+~~~
+