defensive
Auditd en Linux: Monitorizar Actividad del Sistema
18 Mar 2026
Auditd es el subsistema de auditoría del kernel de Linux. Permite registrar llamadas al sistema con granularidad alta.
Instalar y activar
sudo apt install auditd audispd-plugins -y
sudo systemctl enable --now auditd
Reglas básicas de auditoría
Las reglas se añaden en /etc/audit/rules.d/audit.rules:
# Monitorizar acceso a /etc/passwd y /etc/shadow
-w /etc/passwd -p wa -k identity
-w /etc/shadow -p wa -k identity
# Monitorizar sudoers
-w /etc/sudoers -p wa -k sudoers
# Detectar ejecución de comandos como root
-a always,exit -F arch=b64 -F euid=0 -S execve -k root_commands
# Monitorizar cambios en cron
-w /etc/cron.d/ -p wa -k cron
-w /var/spool/cron/ -p wa -k cron
# Detectar módulos del kernel cargados/descargados
-w /sbin/insmod -p x -k modules
-w /sbin/rmmod -p x -k modules
Recargar reglas
sudo augenrules --load
sudo systemctl restart auditd
Consultar eventos
# Ver todos los eventos de un tipo de clave
ausearch -k identity
# Eventos de hoy
ausearch -ts today -k root_commands
# Generar reporte de actividad
aureport --auth --summary