Revisionsfilsystemregler i RHEL/CentOS/Rocky Linux definerer, hvilke operationer der skal logges, og hvilke der ikke skal være. Ved at oprette og administrere disse regler kan du kontrollere detaljeringsgraden og følsomheden af ​​de revisionslogfiler, der genereres af systemet.

Følg disse trin for at definere revisionsfilsystemregler i RHEL/CentOS/Rocky Linux:

1. Åbn et terminalvindue.

2. Brug følgende kommando til at oprette en ny revisionsfilsystemregel:

```

auditctl -a

```

Hvor:

* `` specificerer de betingelser, hvorunder reglen skal udløses. De mest almindelige muligheder omfatter:

* `-w`:Hold øje med den angivne sti for ændringer.

* `-p`:Angiv de tilladelser, der skal revideres.

* `-k`:Angiv et nøglenavn for reglen. Denne nøgle vil blive brugt til at søge efter reglen i revisionsloggene.

* `` er den absolutte sti til den mappe eller fil, som du vil revidere.

3. For for eksempel at se `/etc`-mappen for ændringer og logge eventuelle forsøg på at ændre, slette eller oprette filer i den mappe, skal du bruge følgende kommando:

```

auditctl -w /etc -p wa

```

4. Når reglen er blevet oprettet, kan du bekræfte den ved at bruge følgende kommando:

```

auditctl -l

```

5. Denne kommando viser alle de aktive revisionsregler, inklusive den du lige har oprettet.

6. Du kan også ændre eller slette revisionsregler ved at bruge kommandoen `auditctl` med valgmulighederne `-e` og `-d`.

Ved at definere og administrere regler for revisionsfilsystem kan du sikre, at dit system logger de hændelser, der er vigtigst for dig, og at de revisionslogfiler, der genereres af systemet, er nøjagtige og fuldstændige. Disse oplysninger kan være uvurderlige i tilfælde af en sikkerhedshændelse eller compliance audit.