機械翻訳について

許可モードでの拒否イベントの監査

許容モードをデフォルトで有効にするには、/etc/fapolicyd/fapolicyd.confを編集し、permissive構成オプションを1に設定します。 変更を有効にするには、fapolicydサービスを再起動する必要があります。 すべての拒否イベントが監査ログに送信され、fanotifyメッセージを使用して追跡されます。

fapolicydイベントのロギングを開始するには、auditdに対して少なくとも1つのルールが定義されている必要があります。 ルールが定義されていない場合、監査ログにイベントは表示されません。 監査用のルールを作成して作業を開始できます。 たとえば、次のように、/etc/fapolicydの構成に対する変更を監査するルールを作成できます:

sudo tee /etc/audit/rules.d/40-fapolicyd.rules > /dev/null <<'EOF'
# This policy monitors /etc/fapolicyd/ for changes to configuration
# This rule is generated to ensure that events are logged to the audit log 
  for fapolicyd tracking                                  
-w /etc/fapolicyd/ -p wa -k fapolicyd_changes
EOF

このルールを有効にするには、auditdサービスを再起動する必要があります:

sudo service auditd restart

ノート:

systemctlコマンドを使用してauditdを再起動することはできません。

拒否イベントは監査ログに記録されます。 ausearchコマンドを使用して、これらを確認します。 たとえば:

sudo ausearch --start today -m fanotify

読みやすい出力を作成するには、aureportを使用します。 たとえば:

sudo ausearch --start today -m fanotify --raw | aureport --file