audit geht nicht...

bsd4me

Well-Known Member
Hallo,

ich habe versucht, audit zum Laufen zu bringen:

(1) Erstelle geänderte /etc/security/audit_control
dir:/var/audit
flags:fc,fd,fw
minfree:20
naflags:lo
policy:cnt
filesz:0

(2) starte auditd
/etc/rc.d/audit onestart

(3) protokolliere
praudit /dev/auditpipe

Nun, ich erwarte, dass nun Dateiänderungen ins audit fliessen. Das was aber nur per praudit angezeigt wird sind einloggen und ausloggen - als ob die Änderungen in audit_control nicht geschehen sind...

Was mache ich falsch?

Danke für Eure Hilfe :-) Norbert
 
Vielleicht interessiert es jemanden, ich gebe mal meine eigenen Lösung des Problems... :-)

Habe in einem anderen Thread gelesen, dass erneutes Einloggen notwendig sei. Nun, nach einem Einlogenn bzw. einem "exec login username" geht das auditing wie gewünscht... Muss man aber erst drauf kommen...

Norbert
 
Back
Top