内核编译时,一般打开NET选项就打开AUDIT选项了。
在系统中查看audit是否打开,root 用户执行:
service auditd status
我们知道在Linux系统中有大量的日志文件可以用于查看应用程序的各种信息,
但是对于用户的操作行为(如某用户修改删除了某文件)却无法通过这些日志文件来查看,
如果我们想实现监管企业员工的操作行为就需要开启审计功能,也就是auditd。
1、首先执行以下命令开启auditd服务
service auditd start
2、接着查看看auditd的服务状态,有两种方法可以实现,使用auditctl命令时主要看enabled是否为1,1为开启,0为关闭
[root@ns-master-c01 ~]# service auditd status
auditd (pid 20594) is running...
[root@ns-master-c01 ~]# auditctl -s
AUDIT_STATUS: enabled=1 flag=1 pid=20594 rate_limit=0 backlog_limit=320 lost=0 backlog=0
3、开启了auditd服务后,所有的审计日志会记录在/var/log/audit/audit.log文件中,
该文件记录格式是每行以type开头,
其中红框处是事件发生的时间(代表从1970年1月1日到现在过了多久,可以用date命令转换格式),
冒号后面的数字是事件ID,同一个事件ID是一样的。
4、aud