ubantu16.04开启audit审计
audit
auditctl : 即时控制审计守护进程的⾏为的⼯具,⽐如添加规则等等。
64届艾美奖
aureport : 查看和⽣成审计报告的⼯具。
auarch : 查找审计事件的⼯具翰林学院国际课程
auditspd : 转发事件通知给其他应⽤程序,⽽不是写⼊到审计⽇志⽂件中。
autrace : ⼀个⽤于跟踪进程的命令。
/etc/audit/audit.rules : 记录审计规则的⽂件。
/etc/f : auditd⼯具的配置⽂件。
1.下⾯开始启动,先确认系统是否安装了audit服务
mailboxrvice auditd status
英语四级真题试卷ubuntu执⾏以下命令安装
sudo apt-get install auditd
2.启动audit服务
systemctl restart auditd
然后再查看服务状态,没问题就ok了
下⾯是⼀些相关命令
查看审计规则
auditctl -l上海广告设计培训
添加审计规则
-w path : 指定要监控的路径,上⾯的命令指定了监控的⽂件路径 /etc/passwd
-p : 指定触发审计的⽂件/⽬录的访问权限
-
k 给当前这条监控规则起个名字,⽅便搜索过滤研究生入学考试
no body no body
rwxa :指定的触发条件,r 读取权限,w 写⼊权限,x 执⾏权限,a 属性(attr)
auditctl -w /etc/passwd -p rwxa
查看审计⽇志
auarch -f /etc/passwd
⽣成简要报告
aureport
⽇志⽂件⽬录:
/var/log/audit/audit.log
batchno
注意:⽤ auditd 添加审计规则是临时的,⽴即⽣效,但是系统重启失效。
新手妈妈学婴语想要重启仍然有效,需要在 /etc/audit/audit.rules ⽂件中添加规则,然后重启服务:rvice auditd restart
注册国际人力资源管理师
或
rvice auditd reload
