audit rule 정의

audit rule 설정은 아래 방법으로 가능 1. 커맨드 라인 정의 (재부팅시 초기화됨) 2. `/etc/audit/audit.rules` 파일에 기술 * ##### 시스템 콜 룰 정의 ``` auditctl -a action,filter -S system_call -F field=value -k key_name ``` 액션과 필터는 특정 이벤트가 언제 로그에 기술 되는지를 지정합니다. 액션은 `always`나 `never` 중 하나입니다. 필터는 이벤트에 적용할 커널 룰 매칭 필터를 지정합니다. 룰-매칭-필터에는 `task`, `exit`, `user`, `exclude` 중 하나를 지정합니다. 참고링크: [redhat (일본어)](https://access.redhat.com/documentation/ja-jp/red_hat_enterprise_linux/7/html/security_guide/sec-defining_audit_rules_and_controls)