Regler för revisionsfilsystem i RHEL/CentOS/Rocky Linux definierar vilka operationer som ska loggas och vilka som inte ska vara. Genom att skapa och hantera dessa regler kan du styra detaljnivån och känsligheten för revisionsloggarna som genereras av systemet.
För att definiera regler för granskningsfilsystem i RHEL/CentOS/Rocky Linux, följ dessa steg:
1. Öppna ett terminalfönster.
2. Använd följande kommando för att skapa en ny kontrollfilsystemregel:
```
auditctl -a
```
Där:
* `` anger villkoren under vilka regeln ska utlösas. De vanligaste alternativen inkluderar:
* `-w`:Titta på den angivna sökvägen för ändringar.
* `-p`:Ange vilka behörigheter som ska granskas.
* `-k`:Ange ett nyckelnamn för regeln. Denna nyckel kommer att användas för att söka efter regeln i granskningsloggarna.
* `` är den absoluta sökvägen till katalogen eller filen som du vill granska.
3. För att till exempel titta på `/etc`-katalogen efter ändringar och logga alla försök att ändra, ta bort eller skapa filer i den katalogen, skulle du använda följande kommando:
```
auditctl -w /etc -p wa
```
4. När regeln har skapats kan du verifiera den genom att använda följande kommando:
```
auditctl -l
```
5. Det här kommandot listar alla aktiva revisionsregler, inklusive den du just skapade.
6. Du kan också ändra eller ta bort revisionsregler med kommandot `auditctl` med alternativen `-e` och `-d`.
Genom att definiera och hantera regler för revisionsfilsystem kan du säkerställa att ditt system loggar de händelser som är viktigast för dig och att revisionsloggarna som genereras av systemet är korrekta och fullständiga. Denna information kan vara ovärderlig i händelse av en säkerhetsincident eller efterlevnadsrevision.
