1、首先auditd或auditd守护进程是审计系统中用户空间的一个组件,其负责将审计记录写入磁盘。
2、接着以使用wajig工具或者apt-get工具安装auditd工具,即时控制审计守护进程的行为的工具,比如如添加规则等等。
3、然后记录审计规则的文件,查看和生成审计报告的工具,转发事件通知给其他应用程序,而不是写入到审计日志文件中。
4、接着可以使用以下命令查看,使用审计工具的一个懋鲕壶迎基本的需求是监控文件和目录的更改,使用auditd工具,通过如下命令来配置注意,以下命令需要root权限。
5、然后指定要监控的路径,上面的命令指定了监控的文件路径/etc/passwd,指定触发审计的文件/目录的访问权限。
6、添加规则后,可以查看auditd的日志使用ausearch工具可以查看auditd日志,添加规则监控/etc/passwd文件,现在可以使用ausearch工具的以下命令来查看审计日志。
