linux审计日志添加规则
查看audit日志服务状态
systemctl status auditd
在 /etc/audit/rules.d/audit.rules中添加
-a exit,always -F arch=b64 -S kill -k kill_signals
监控某个文件的权限修改
auditctl -w /tmp/tmp123 -p a -k tmp123
清空规则
auditctl -D
查看规则
auditctl -l
重启auditd服务
systemctl restart auditd
如果kill -9的操作没有被记录可以重启ssh会话,把audit规则中的-b 调大一些比如8192