linux查看是否开启审计功能,linux审计功能auditd

安全防护是首先要考虑的问题。为了避免别人盗取我们的数据，我们需要时刻关注它。安全防护包括很多东西，

我们知道auditd 的审计工具。这个工具在大多数Linux操作系统中是默认安装的。那么auditd 是什么？该如何使用呢？下面我们开始介绍。

什么是auditd？

auditd(或 auditd 守护进程)是Linux审计系统中用户空间的一个组件，其负责将审计记录写入磁盘。

安装 auditd

Ubuntu系统中，我们可以使用 wajig 工具或者 apt-get 工具 安装

按照下面的说明安装auditctl : 即时控制审计守护进程的行为的工具，比如如添加规则等等。

/etc/audit/audit.rules : 记录审计规则的文件。

aureport : 查看和生成审计报告的工具。

ausearch : 查找审计事件的工具

auditspd : 转发事件通知给其他应用程序，而不是写入到审计日志文件中。

autrace : 一个用于跟踪进程的命令。

/etc/audit/auditd.conf : auditd工具的配置文件。

首次安装 auditd 后, 审计规则是空的。

可以使用以下命令查看：$sudoauditctl-l

以下我们介绍如何给auditd添加审计规则。

如何使用auditd

Audit 文件和目录访问审计

我们使用审计工具的一个基本的需求是监控文件和目录的更改。使用auditd工具，我们可通过如下命令来配置(注意，以下命令需要root权限)。

文件审计$sudoauditctl-w/etc/passwd-p rwxa

选项 :-w