bsd4me
Well-Known Member
Hallo,
ich habe versucht, audit zum Laufen zu bringen:
(1) Erstelle geänderte /etc/security/audit_control
dir:/var/audit
flags:fc,fd,fw
minfree:20
naflags:lo
policy:cnt
filesz:0
(2) starte auditd
/etc/rc.d/audit onestart
(3) protokolliere
praudit /dev/auditpipe
Nun, ich erwarte, dass nun Dateiänderungen ins audit fliessen. Das was aber nur per praudit angezeigt wird sind einloggen und ausloggen - als ob die Änderungen in audit_control nicht geschehen sind...
Was mache ich falsch?
Danke für Eure Hilfe :-) Norbert
ich habe versucht, audit zum Laufen zu bringen:
(1) Erstelle geänderte /etc/security/audit_control
dir:/var/audit
flags:fc,fd,fw
minfree:20
naflags:lo
policy:cnt
filesz:0
(2) starte auditd
/etc/rc.d/audit onestart
(3) protokolliere
praudit /dev/auditpipe
Nun, ich erwarte, dass nun Dateiänderungen ins audit fliessen. Das was aber nur per praudit angezeigt wird sind einloggen und ausloggen - als ob die Änderungen in audit_control nicht geschehen sind...
Was mache ich falsch?
Danke für Eure Hilfe :-) Norbert