重要な設定ファイルの変更監視
システム上のユーザー管理ファイルである /etc/passwd への書き込み(w)および属性変更(a)を監視するルールを設定します。
実行コマンド
sudo auditctl -w /etc/passwd -p wa -k identity_change💡 利用シーン
不正なユーザー作成やパスワード設定の改ざんを後から追跡したい場合。
💻 実行結果例
type=SYSCALL msg=audit(1698334400.123:456): arch=c000003e syscall=2 success=yes exit=3 a0=55a1b2c3d4e0📝 実務メモ
-kオプションで任意のキー名を指定することで、ausearchコマンドでの検索が容易になります。
⚠️ 注意点
監視対象を増やしすぎるとログが大量に出力され、システムパフォーマンスに影響を与える可能性があります。