1、安装:
centos默认安装,Ubuntu:sudo apt-get install auditd
2、开启auditd服务:
service auditd start
3、查看当前auditd服务状态:
service auditd status
auditctl -s
4、重启auditd服务:
service auditd restart 或 service auditd reload
5、自定义对指定文件或目录进行监视:
(1)命令行语法(暂时生效,系统重启后失效):
auditctl -h 查看auditctl命令使用规则,如下:
常用监视指令示例:
auditctl -w /etc/passwd -p rwxa
-w path : 指定要监控的路径,上面的命令指定了监控的文件路径 /etc/passwd
-p : 指定触发审计的文件/目录的访问权限
-k 给当前这条监控规则起个名字,方便搜索过滤
rwxa : 指定的触发条件,r 读取权限,w 写入权限,x 执行权限,a 属性(attr)
(2)修改配置文件:
auditd的配置文件为/etc/audit/audit下的auditd.co