---
categories: web
title: Howto Auditd
...

Le Linux Auditing System est un framework d'audit des évènements systèmes intégré au noyau Linux.

Son composant en userspace est fournit par le paquet Debian `auditd`, qui fournit un service du même nom.

Il permet, par exemple, de surveiller et loguer l'exécution de processus, la création ou suppression de fichiers...


## Installation

~~~
# apt install auditd
~~~


## Configuration

Auditd se configure avec des règles, qui vont loguer les évènements demandés.

Les règles doivent se placer dans des fichiers `/etc/audit/rules.d/*.rules`.

**Attention :** Selon des types d'évènement logués, les logs peuvent devenir très volumineux.


### Surveiller les renommages et suppressions de fichiers

Créer un fichier `/etc/audit/rules.d/rm.rules` contenant :

~~~
## First rule - delete all
-D

## Increase the buffers to survive stress events.
## Make this bigger for busy systems
-b 8192

## This determine how long to wait in burst of events
--backlog_wait_time 0

## Set failure mode to syslog
-f 1

# Monitor rename and deletion of files in directory <PATH>
-a always,exit -F dir=<PATH> -S unlink -S unlinkat -S rename -S renameat -S rmdir -k <MY_CUSTOM_VAR>
~~~

Et recharger le service :

~~~
systemctl status auditd
~~~

## Visualiser les évènements loggés

Les logs se trouvent dans `/var/log/audit/audit.log`.

On peut utiliser `ausearch` qui fournit des options de recherche avancées. Par exemple, si on a définit un mot clé dans la règle :

~~~
ausearch -k <MY_CUSTOM_VAR>
~~~