1、安装
sudo apt install auditd
2、开启服务
sudo systemctl enable auditd.service
sudo systemctl restart auditd.service
3、设置规则
sudo auditctl -a exit,always -F arch=b64 -S kill -F a1=9
4、查看谁杀死了进程
sudo ausearch -sc kill
审计解析
5、默认审计日志的位置
/var/log/audit/audit.log