Auditd est un outil qui permet de logger des événements intervenu sur l'OS.

Ensemble de variable qui permettent de configurer le daemon auditd.

Se trouve dans /etc/audit/auditd.conf.

Régles qui seront chargées au démarrage du daemon auditd.

Se trouve dans /etc/audit/audit.rules.

Map un syscall en id ou un id en numéro de syscall :

$ ausyscall --exact x86_64 open
2

$ ausyscall i386 2
fork

$ ausyscall x86_64 2
open

• Lister les règles chargées :

$ auditctl -l

• Recharger les régles à partir d'un fichier :

$ auditctl -R /etc/audit/audit.rules

• Supprimer l'ensemble des régles :

$ auditctl -D

• Ajouter des régles :
  • Log les syscall open pour l'utilisateur qui a l'id 80 (on précise qu'on est sur du 64 bits car les sycall peuvent être différents) :

$ auditctl -a exit,always -F arch=x86_64 -S open -F auid=80

• Log les écritures (w = write / a = append / x = execution / r = read) pour le fichier /etc/passwd :

$ auditctl -a exit,always -F path=/etc/passwd -F perm=wa

Une sorte d'équivalent à strace :

$ autrace /bin/ls /tmp

Similaire à la commande lastlog mais utilise auditd.

Similaire à la commande last mais utilise auditd.