デフォルト・ポリシー・ロギングの変更

fapolicydに付属するデフォルトのポリシー・ルールは、拒否の監査ログにのみログを記録するように構成されます。この構成は本番システムに適していますが、これらのログに格納されている情報はデバッグのために制限される場合があります。イベントの最終決定に使用されるルールを追跡する必要がある場合は、デバッグ・モードでfapolicydを実行するか、ルールを変更して情報をシステム・ログに出力します。デバッグ・モードでのfapolicydの実行の詳細は、「許可モードでの対話型デバッグ」を参照してください。

ポリシー・ルールの決定によって、情報をログに記録するかどうか、およびその情報をログに記録する方法が識別されます。デフォルトでは、拒否決定の場合、fapolicydパッケージに含まれるルールはdeny_auditの決定タイプを使用します。すべてのdeny_audit決定タイプをdeny_logに変更して、監査ログとシステム・ログの両方に情報を記録できます。

ロギングを拡張するには:

ルール定義の更新。
/etc/fapolicyd/rules.dのすべてのルールを更新して、deny_auditをdeny_logに置き換えます:
```
sudo bash -c 'for i in /etc/fapolicyd/rules.d/*; do sed -i "s/deny_audit/deny_log/g" $i; done'
```
許可ルールに対してロギングを有効にすることもできますが、有効にすると冗長出力になり、パフォーマンスに重大な影響を与える可能性があります。
ルールが更新されていることを確認します。
次のコマンドを実行して、ルールが正常に更新されたことを確認します:
```
sudo fagenrules --check
```
新しいルールをロードします。
次のコマンドを実行して、新しいルールをfapolicydにロードします:
```
sudo fagenrules --load
```
ルールを確認します。
変更がfapolicydに正しくロードされていることを確認します:
```
sudo fapolicyd-cli  -l | grep 'deny_log'
```

イベントがfapolicydによって拒否され、決定がdeny_logに設定されている場合、次のようなエントリがシステム・ログに表示されます:

fapolicyd[1478]: rule=13 dec=deny_log perm=execute auid=1000 pid=5361 exe=/usr/bin/bash : 
   path=/home/user/demo.bin ftype=application/x-executable trust=0

出力には、イベントを拒否する最終決定を行うためにfapolicydが使用したルールのルール番号が含まれていることに注意してください。

fapolicydのシステム・ログ・エントリを表示するには、次を実行します:

sudo journalctl -S today -u fapolicyd