Применимо к редакции: МСВСфера 9 (ФСТЭК)

14.14. Регистрация событий безопасности

14.14.1. Введение

Система виртуализации МСВСфера ОС поддерживает регистрацию событий безопасности в системном журнале аудита через встроенный механизм auditd. Таким образом системные администраторы и администраторы безопасности получают возможность отслеживать историю изменения состояния виртуальных машин и их конфигурации, а также осуществлять мониторинг заданных событий в реальном времени.

Так же с помощью auditd осуществляется регистрация изменений в конфигурационных файлах гипервизора и политиках безопасности.

По умолчанию системный журнал событий безопасности записывается в файл /var/log/audit/audit.log, процедура работы с журналом описана в соответствующем разделе Руководства администратора.

Внимание: функция регистрации событий безопасности поддерживается только для гипервизора, работающего в системном режиме (см. «14.3.3. Системный режим»).

14.14.2. Настройка гипервизора

По умолчанию функция регистрации событий безопасности включена и какая-либо дополнительная конфигурация на стороне гипервизора не требуется. Нижеприведённая информация о настройке гипервизора имеет справочный характер.

Для включения или отключения функции регистраций событий безопасности необходимо внести соответствующие изменения в следующие конфигурационные файлы:

  • /etc/libvirt/virtqemud.conf — основной сервис для управления гипервизором.

  • /etc/libvirt/virtinterfaced.conf — сервис для управления сетевыми интерфейсами хост-системы.

  • /etc/libvirt/virtnetworkd.conf — сервис для управления виртуальными сетями.

  • /etc/libvirt/virtnodedevd.conf — сервис для управления оборудованием, подключённым к хост-системе.

  • /etc/libvirt/virtnwfilterd.conf — сервис для управления сетевым экраном (брандмауэром) на хост-системе.

  • /etc/libvirt/virtsecretd.conf — сервис хранения секретов.

  • /etc/libvirt/virtstoraged.conf — сервис для управления пулами хранения и томами/разделами в этих пулах.

  • /etc/libvirt/virtproxyd.conf — сервис, который обеспечивает обратную совместимость для клиентов, которые были ранее настроены на работу с UNIX-сокетом монолитного сервиса libvirtd, также опционально позволяет принимать и обрабатывать RPC команды по сети. В общем случае у вас не возникнет необходимость включения данного сервиса, однако в целях унификации конфигурации рекомендуется внести соответствующие правки в конфигурационный файл.

  • /etc/libvirt/libvirtd.conf — конфигурационный файл от монолитного варианта сервиса libvirtd, поставляется для обеспечения совместимости.

За управление функцией регистрации событий безопасности отвечает опция audit_level, которая может принимать следующие значения:

  • audit_level=0 — регистрация событий безопасности отключена.

  • audit_level=1 — регистрация событий безопасности включена, если на сервере запущена подсистема аудита (сервис auditd), в противном случае функция отключается. Также это является поведением по умолчанию если опция не определена в конфигурационном файле.

  • audit_level=2 — регистрация событий безопасности включена в обязательном порядке, если подсистема аудита не запущена, то сервис libvirtd выдаст ошибку и не запустится.

Таким образом, для отключения функции регистрации событий безопасности необходимо в каждом из вышеперечисленных файлов установить значение опции audit_level равным 0, а для включения — либо 1, либо 2.

После внесения правок в конфигурационные файлы необходимо перезапустить сервисы libvirt для принятия соответствующих изменений:

$ sudo systemctl restart virtqemud
$ sudo systemctl restart virtinterfaced
$ sudo systemctl restart virtnetworkd
$ sudo systemctl restart virtnodedevd
$ sudo systemctl restart virtnwfilterd
$ sudo systemctl restart virtsecretd
$ sudo systemctl restart virtstoraged

Если вы по каким-то причинам используете virtproxyd, то перезапустите также этот сервис:

$ sudo systemctl restart virtproxyd

В дополнение к записи событий безопасности в системный журнал аудита libvirt поддерживает дублирование этих событий в свой собственный журнал. За это отвечает опция audit_logging в конфигурационных файлах, которая может принимать следующие значения:

  • audit_logging=0 — не дублировать события безопасности в собственный журнал libvirt (поведение по умолчанию).

  • audit_logging=1 — дублировать события безопасности в собственный журнал libvirt.

14.14.3. Типы сообщений о событиях безопасности гипервизора

Поставляемый в МСВСфера ОС гипервизор libvirt использует три типа сообщений о событиях безопасности:

  • VIRT_CONTROL — сообщение об изменении состояния виртуальной машины;

  • VIRT_MACHINE_ID — сообщение о назначении контекста безопасности SELinux (маркировке) виртуальной машине;

  • VIRT_RESOURCE — сообщения об использовании виртуальной машиной ресурсов хост-системы. Во время первого запуска виртуальной машины сообщения будут отправлены обо всех подключённых устройствах, в дальнейшем сообщения будут направляться о внесении изменений в конфигурацию оборудования виртуальной машины (изменение объёма выделенных ресурсов, подключение новых устройств и т.п.).

Примеры сообщений от гипервизора, полученные с помощью утилиты ausearch:

$ sudo ausearch -m VIRT_RESOURCE,VIRT_CONTROL,VIRT_MACHINE_ID

time->Mon Oct 21 23:12:15 2024
type=VIRT_CONTROL msg=audit(1729541535.433:276): pid=3373 uid=0 \
auid=4294967295 ses=4294967295 subj=system_u:system_r:virtd_t:s0-s0:c0.c1023 \
msg='virt=kvm op=start reason=booted vm="msvsphere-9-arm" \
uuid=03347cd5-8fbd-42ba-88d0-8c2c5968e3f1 vm-pid=0 exe="/usr/sbin/virtqemud" \
hostname=? addr=? terminal=? res=failed'
----
time->Mon Oct 21 23:15:18 2024
type=VIRT_MACHINE_ID msg=audit(1729541718.054:322): pid=3373 \
uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:virtd_t:s0-s0:c0.c1023 \
msg='virt=kvm vm="msvsphere-9-arm" uuid=d5aad9c6-7e09-4b07-a89a-3c039d0ad8b3 \
vm-ctx=system_u:system_r:svirt_t:s0:c675,c813 \
img-ctx=system_u:object_r:svirt_image_t:s0:c675,c813 \
model=selinux exe="/usr/sbin/virtqemud" hostname=? addr=? terminal=? res=success'
----
time->Mon Oct 21 23:15:18 2024
type=VIRT_RESOURCE msg=audit(1729541718.681:378): pid=3373 \
uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:virtd_t:s0-s0:c0.c1023 \
msg='virt=kvm resrc=disk reason=start vm="msvsphere-9-arm" \
uuid=d5aad9c6-7e09-4b07-a89a-3c039d0ad8b3 old-disk="?" \
new-disk="/var/lib/libvirt/images/msvsphere-9-arm.qcow2" \
exe="/usr/sbin/virtqemud" hostname=? addr=? terminal=? res=success'

Любое из трёх приведённых типов сообщений о событиях безопасности является в равной степени важным с точки зрения обеспечения информационной безопасности средств виртуализации. Администратор системы имеет возможность отфильтровать сообщения гипервизора по определённым типам с использованием утилиты ausearch из состава ОС МСВСфера. Инструкции по использованию ausearch доступны в соответствующем разделе Руководства администратора, а также на странице документации (man ausearch).

Для всех видов сообщений libvirt использует следующий базовый набор полей:

  • pid — идентификатор процесса гипервизора libvirt, отправившего сообщение в журнал событий безопасности;

  • uid — идентификатор пользователя, от имени которого был запущен процесс-отправитель сообщения;

  • subj — контекст безопасности SELinux процесса-отправителя сообщения;

  • msg — строка, содержащая разделённый пробелом список пар ключ=значение, специфичных для данного вида сообщения.

Ниже приведены общие ключи для поля msg у разных типов сообщений:

  • virt — тип используемого драйвера виртуализации: qemu или lxc;

  • vm — имя виртуальной машины;

  • uuid — уникальный идентификатор виртуальной машины;

  • exe — путь к исполняемому файлу процесса libvirt, выполнившему операцию;

  • hostname — в настоящее время не используется;

  • addr — в настоящее время не используется;

  • terminal — в настоящее время не используется;

  • res — статус выполнения операции: success в случае успешного выполнения, failed — в случае неудачи;

14.14.3.1. VIRT_CONTROL

Сообщение типа VIRT_CONTROL уведомляет об изменении состояния виртуальной машины. У такого сообщения поле msg будет содержать следующие данные:

  • op — тип выполненной операции: start, stop или init;

  • reason — причина, по которой была выполнена операция. Несколько примеров:

    • op=stop reason=shutdown — виртуальная машина остановлена по команде безопасной остановки (virsh shutdown);

    • op=stop reason=destroy — виртуальная машины была остановлена по команде немедленной остановки (virsh destroy).

  • vm-pid — идентификатор основного процесса виртуальной машины;

  • init-pid — идентификатор init-процесса внутри контейнера. Используется только если op=init и virt=lxc;

  • pid-ns — идентификатор пространства имён (namespace) init-процесса внутри контейнера. Используется только если op=init и virt=lxc;

Ниже представлены несколько примеров сообщений типа VIRT_CONTROL в файле журнала audit.log:

  • удачный запуск виртуальной машины:

    type=VIRT_CONTROL msg=audit(1729541718.681:386): pid=3373 \
uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:virtd_t:s0-s0:c0.c1023 \
msg='virt=kvm op=start reason=booted vm="msvsphere-9-arm" \
uuid=d5aad9c6-7e09-4b07-a89a-3c039d0ad8b3 vm-pid=4107 \
exe="/usr/sbin/virtqemud" hostname=? addr=? terminal=? res=success'

  • неудачный запуск виртуальной машины:

    type=VIRT_CONTROL msg=audit(1729541535.433:276): pid=3373 \
uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:virtd_t:s0-s0:c0.c1023 \
msg='virt=kvm op=start reason=booted vm="msvsphere-9-arm" \
uuid=03347cd5-8fbd-42ba-88d0-8c2c5968e3f1 vm-pid=0 exe="/usr/sbin/virtqemud" \
hostname=? addr=? terminal=? res=failed'

  • остановка виртуальной машины по команде virsh shutdown:

    type=VIRT_CONTROL msg=audit(1729597082.830:613): pid=3373 \
uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:virtd_t:s0-s0:c0.c1023 \
msg='virt=kvm op=stop reason=shutdown vm="msvsphere-9-arm" \
uuid=d5aad9c6-7e09-4b07-a89a-3c039d0ad8b3 vm-pid=0 exe="/usr/sbin/virtqemud" \
hostname=? addr=? terminal=? res=success'

14.14.3.2. VIRT_MACHINE_ID

Сообщение типа VIRT_MACHINE_ID уведомляет о назначении контекста безопасности SELinux (маркировке) виртуальной машине. У такого сообщения поле msg будет содержать следующие данные:

  • model — тип драйвера безопасности: selinux или apparmor. МСВСфера ОС поддерживает только SELinux;

  • vm-ctx — контекст безопасности для процесса, в котором запущена виртуальная машина;

  • img-ctx — контекст безопасности для образа диска виртуальной машины и других её ресурсов.

Пример сообщения в файле журнала audit.log:

type=VIRT_MACHINE_ID msg=audit(1729541534.997:199): pid=3373 \
uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:virtd_t:s0-s0:c0.c1023 \
msg='virt=kvm vm="msvsphere-9-arm" uuid=03347cd5-8fbd-42ba-88d0-8c2c5968e3f1 \
vm-ctx=system_u:system_r:svirt_t:s0:c29,c465 img-ctx=system_u:object_r:svirt_image_t:s0:c29,c465 \
model=selinux exe="/usr/sbin/virtqemud" hostname=? addr=? terminal=? res=success'

14.14.3.3. VIRT_RESOURCE

Сообщение типа VIRT_RESOURCE уведомляет об использовании ресурсов хост-системы виртуальной машиной. Во время первого запуска виртуальной машины сообщения будут отправлены обо всех подключённых устройствах, в дальнейшем сообщения будут направляться о внесении изменений в конфигурацию оборудования виртуальной машины (изменение объёма выделенных ресурсов, подключение новых устройств и т.п.).

Набор данных в поле msg отличается для разных типов ресурсов, однако эти два значения используются для всех ресурсов:

  • reason — причина, по которой произошло выделение или изменение ресурса;

  • resrc — тип выделяемого/изменяемого ресурса.

Описание полей, специфичных для отдельных типов ресурсов:

  • центральный процессор (resrc=vcpu):

    • old-vcpu — изначальное количество виртуальных процессоров или 0

    • new-vcpu — обновлённое количество виртуальных процессоров

  • оперативная память (resrc=mem):

    • old-mem — изначальный размер оперативной памяти в байтах

    • new-mem — обновлённый размер оперативной памяти в байтах

  • диск (resrc=disk):

    • old-disk — путь к изначальному файлу диска или дисковому устройству на хост-системе

    • new-disk — обновлённый путь к файлу диска или дисковому устройству на хост-системе

  • сетевой интерфейс (resrc=net):

    • для виртуальных сетевых устройств:

      • old-net — изначальный MAC-адрес сетевого устройства

      • new-net — обновлённый MAC-адрес сетевого устройства

    • для физических устройств хост-системы, назначенных виртуальной машине:

      • net — MAC-адрес устройства на хост-системе

      • rdev — название сетевого интерфейса на хост-системе

  • файловая система (resrc=fs):

    • old-fs — изначальный каталог, файл или путь к устройству, на котором находится файловая система, предоставляемая виртуальной машине или контейнеру

    • new-fs — обновлённый каталог, файл или путь к устройству, на котором находится предоставляемая файловая система

  • физическое устройство (resrc=hostdev (блочные или символьные устройства) или resrc=dev (USB, PCI или SCSI-устройства)):

    • dev — уникальный идентификатор USB, PCI или SCSI-устройства (resrc=dev)

    • disk — путь к блочному устройству, выделенному для виртуальной машины (resrc=hostdev)

    • chardev — путь к символьному устройству, выделенному для виртуальной машины (resrc=hostdev)

  • TPM (Trusted Platform Module) модуль (resrc=tpm или resrc=tpm-emulator):

    • device — путь к TPM-устройству, выделенному для виртуальной машины

  • генератор случайных чисел (resrc=rng):

    • old-rng — изначальный путь к источнику энтропии на хост-системе

    • new-rng — обновлённый путь к источнику энтропии на хост-системе

  • последовательный порт, параллельный порт, терминал (resrc=chardev):

    • old-chardev — изначальный путь к символьному устройству, используемому для эмуляции устройства

    • new-chardev — обновлённый путь к символьному устройству, используемому для эмуляции устройства

  • смарт-карта (resrc=smartcard):

    • old-smartcard — изначальный путь к устройству смарт-карты для проброса в виртуальную машину

    • new-smartcard — обновлённый путь к устройству смарт-карты для проброса в виртуальную машину

  • перенаправленное USB-устройство (resrc=redir):

    • bus — тип шины, на текущий момент поддерживается только usb

    • device — тип устройства, на текущий момент поддерживается только USB redir

  • контрольная группа cgroup (resrc=cgroup):

    • cgroup — название контроллера группы cgroup

  • разделяемая память (resrc=shmem):

    • size — размер выделяемой области памяти

    • shmem — название выделяемой области памяти

    • source — путь к символьному устройству, используемому для эмуляции устройства

Пример сообщений типа VIRT_RESOURCE в файле журнала audit.log:

type=VIRT_RESOURCE msg=audit(1729619180.453:1009): pid=12366 \
uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:virtd_t:s0-s0:c0.c1023 \
msg='virt=kvm resrc=disk reason=start vm="msvsphere-9-arm" \
uuid=87b934dd-ba95-4930-84fe-f5caf0996964 old-disk="?" \
new-disk="/var/lib/libvirt/images/msvsphere-9-arm.qcow2" \
exe="/usr/sbin/virtqemud" hostname=? addr=? terminal=? res=success'

type=VIRT_RESOURCE msg=audit(1729619180.453:1010): pid=12366 \
uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:virtd_t:s0-s0:c0.c1023 \
msg='virt=kvm resrc=disk reason=start vm="msvsphere-9-arm" \
uuid=87b934dd-ba95-4930-84fe-f5caf0996964 old-disk="?" \
new-disk="/srv/iso/MSVSphere-9.4-x86_64-arm.iso" exe="/usr/sbin/virtqemud" \
hostname=? addr=? terminal=? res=success'

type=VIRT_RESOURCE msg=audit(1729619180.453:1011): pid=12366 \
uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:virtd_t:s0-s0:c0.c1023 \
msg='virt=kvm resrc=net reason=start vm="msvsphere-9-arm" \
uuid=87b934dd-ba95-4930-84fe-f5caf0996964 old-net="?" \
new-net="52:54:00:5c:ae:7c" exe="/usr/sbin/virtqemud" hostname=? addr=? terminal=? res=success'

14.14.4. Отслеживание изменений в конфигурационных файлах

С точки зрения информационной безопасности рекомендуется настроить операционную систему на отслеживание изменений в конфигурационных файлах и политиках безопасности гипервизора.

Одним из способов решения этой задачи является добавление соответствующих правил для auditd в вашу систему. Готовый набор правил поставляется в составе пакета sphere-libvirt-integrity, однако, следует иметь ввиду, что установка этого пакета также автоматически включает функцию контроля целостности конфигурации виртуальных машин (см. «14.15.2. Контроль целостности конфигурации виртуальной машины»). Если такая конфигурация является для вас нежелательной, вы сможете самостоятельно настроить правила для подсистемы аудита следуя инструкциям в конце этого раздела.

Для установки пакета sphere-libvirt-integrity выполните следующую команду:

$ sudo dnf install sphere-libvirt-integrity

После установки пакета служба аудита начнёт автоматически отслеживать и регистрировать изменения конфигурационных файлов гипервизора в системном журнале событий безопасности. Далее эти события могут быть обработаны стандартными средствами аудита, включёнными в состав операционной системы МСВСфера. Дополнительная информация по этим инструментам доступна в соответствующем разделе Руководства администратора.

Примеры событий безопасности, регистрирующих изменения конфигурационных файлов гипервизора:

$ sudo ausearch -k libvirt-config-changes

time->Wed Oct 23 18:46:45 2024
type=PROCTITLE msg=audit(1729698405.750:1233): proctitle=2F7573722F62696E2F6D \
63002D50002F7661722F746D702F6D632D726F6F742F6D632E7077642E3134373238
type=PATH msg=audit(1729698405.750:1233): \
item=0 name="/etc/libvirt/libvirt-admin.conf" inode=264181 \
dev=fd:00 mode=0100644 ouid=0 ogid=0 rdev=00:00 \
obj=system_u:object_r:virt_etc_t:s0 nametype=NORMAL \
cap_fp=0 cap_fi=0 cap_fe=0 cap_fver=0 cap_frootid=0
type=CWD msg=audit(1729698405.750:1233): cwd="/etc/libvirt"
type=SYSCALL msg=audit(1729698405.750:1233): arch=c000003e \
syscall=92 success=yes exit=0 a0=55b5c7d34e90 a1=0 a2=0 a3=0 \
items=1 ppid=14728 pid=14768 auid=1666 uid=0 gid=0 euid=0 suid=0 \
fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts2 ses=2 comm="mc" exe="/usr/bin/mc" \
subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key=2F6574632F6C696276\
6972742F6C6962766972742D61646D696E2E636F6E66016C69627\
66972742D636F6E6669672D6368616E676573
----
time->Wed Oct 23 18:46:45 2024
type=PROCTITLE msg=audit(1729698405.750:1234): proctitle=2F7573722F62696E2F6D63 \
002D50002F7661722F746D702F6D632D726F6F742F6D632E7077642E3134373238
type=PATH msg=audit(1729698405.750:1234): item=0 name="/etc/libvirt/libvirt-admin.conf" \
inode=264181 dev=fd:00 mode=0100644 ouid=0 ogid=0 rdev=00:00 \
obj=system_u:object_r:virt_etc_t:s0 nametype=NORMAL cap_fp=0 \
cap_fi=0 cap_fe=0 cap_fver=0 cap_frootid=0
type=CWD msg=audit(1729698405.750:1234): cwd="/etc/libvirt"
type=SYSCALL msg=audit(1729698405.750:1234): arch=c000003e \
syscall=90 success=yes exit=0 a0=55b5c7d34e90 a1=81a4 a2=55b5c7d33020 \
a3=0 items=1 ppid=14728 pid=14768 auid=1666 uid=0 gid=0 euid=0 suid=0 \
fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts2 ses=2 comm="mc" exe="/usr/bin/mc" \
subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key=2F6574632F6C6\
962766972742F6C6962766972742D61646D696E2E636F6E66016C6962\
766972742D636F6E6669672D6368616E676573
----
time->Wed Oct 23 18:46:45 2024
type=PROCTITLE msg=audit(1729698405.750:1235): proctitle=2F7573722F62696E2F6D630 \
02D50002F7661722F746D702F6D632D726F6F742F6D632E7077642E3134373238
type=PATH msg=audit(1729698405.750:1235): item=1 name="/etc/libvirt/libvirt-admin.conf" \
inode=264181 dev=fd:00 mode=0100644 ouid=0 ogid=0 rdev=00:00 \
obj=system_u:object_r:virt_etc_t:s0 nametype=NORMAL cap_fp=0 cap_fi=0 \
cap_fe=0 cap_fver=0 cap_frootid=0
type=PATH msg=audit(1729698405.750:1235): item=0 name="/etc/libvirt/" \
inode=263878 dev=fd:00 mode=040700 ouid=0 ogid=0 rdev=00:00 \
obj=system_u:object_r:virt_etc_t:s0 nametype=PARENT cap_fp=0 \
cap_fi=0 cap_fe=0 cap_fver=0 cap_frootid=0
type=CWD msg=audit(1729698405.750:1235): cwd="/etc/libvirt"
type=SYSCALL msg=audit(1729698405.750:1235): arch=c000003e \
syscall=257 success=yes exit=13 a0=ffffff9c a1=55b5c7d34e90 \
a2=241 a3=81a4 items=2 ppid=14728 pid=14768 auid=1666 \
uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 \
tty=pts2 ses=2 comm="mc" exe="/usr/bin/mc" \
subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 \
key=2F6574632F6C6962766972742F6C6962766972742 \
D61646D696E2E636F6E66016C6962766972742D636F6E6669672D6368616E676573

Для ручной настройки правил аудита создайте файл /etc/audit/rules.d/msvsphere-libvirt.rules следующего содержания:

#
# Watch for Libvirt and QEMU configuration files changes
#
-w /etc/libvirt/libvirt-admin.conf -p wa -k libvirt-config-changes
-w /etc/libvirt/libvirt.conf -p wa -k libvirt-config-changes
-w /etc/libvirt/libvirtd.conf -p wa -k libvirt-config-changes
-w /etc/libvirt/qemu.conf -p wa -k libvirt-config-changes
-w /etc/libvirt/qemu-lockd.conf -p wa -k libvirt-config-changes
-w /etc/libvirt/virtinterfaced.conf -p wa -k libvirt-config-changes
-w /etc/libvirt/virtlockd.conf -p wa -k libvirt-config-changes
-w /etc/libvirt/virtlogd.conf -p wa -k libvirt-config-changes
-w /etc/libvirt/virtnetworkd.conf -p wa -k libvirt-config-changes
-w /etc/libvirt/virtnodedevd.conf -p wa -k libvirt-config-changes
-w /etc/libvirt/virtnwfilterd.conf -p wa -k libvirt-config-changes
-w /etc/libvirt/virtproxyd.conf -p wa -k libvirt-config-changes
-w /etc/libvirt/virtqemud.conf -p wa -k libvirt-config-changes
-w /etc/libvirt/virtsecretd.conf -p wa -k libvirt-config-changes
-w /etc/libvirt/virtstoraged.conf -p wa -k libvirt-config-changes

#
# Watch for Libvirt Polkit actions changes
#
-w /usr/share/polkit-1/actions/org.libvirt.api.policy -p wa -k libvirt-polkit-changes
-w /usr/share/polkit-1/actions/org.libvirt.unix.policy -p wa -k libvirt-polkit-changes
-w /usr/share/polkit-1/rules.d/50-libvirt.rules -p wa -k libvirt-polkit-changes

Установите на него корректные права:

$ sudo chown root:root /etc/audit/rules.d/msvsphere-libvirt.rules
$ sudo chmod 600 /etc/audit/rules.d/msvsphere-libvirt.rules

И загрузите новые правила:

$ sudo augenrules --load

На этом процедуру настройки можно считать завершённой — служба аудита будет автоматически применять эти правила во время загрузки системы.