位置: IT常识 - 正文
auditctl命令 管理内核的审计系统(audit install success)
编辑:rootadminauditctl命令来自英文词组“audit contol”的缩写,其功能是用于管理内核的审计系统。系统管理员 
本文链接地址:https://www.jiuchutong.com/zhishi/300990.html
转载请保留说明!
推荐整理分享auditctl命令 管理内核的审计系统(audit install success),希望有所帮助,仅作参考,欢迎阅读内容。
文章相关热门搜索词:audit install success,audit document,audit document,audo命令,audo命令,auto命令大全,audit document,auditctl -w,内容如对您有帮助,希望把文章链接给更多的朋友!
auditctl命令来自英文词组“audit contol”的缩写,其功能是用于管理内核的审计系统。系统管理员可以使用auditctl命令对Linux系统内核的审计系统进行管理,例如执行查看审计系统状态、添加或删除审计规则等等操作。
语法格式:auditctl [参数]
常用参数:
-a向列表尾部添加规则-A向列表头部添加规则-b设置缓冲区最大值-d删除规则-D清空全部规则-F创建一个字段-i忽略读取文件时的错误-k设置要过滤的关键词-l显示所有的规则-p设置审计文件的权限-R设置从文件中读取规则-s显示审计系统状态-S设置规则名称-w设置要监控的路径参考示例
查看审计系统的运行状态信息:
[root@linuxcool ~]# auditctl -s enabled 1failure 1pid 937rate_limit 0backlog_limit 8192lost 0backlog 0backlog_wait_time 60000loginuid_immutable 0 unlocked查看现有的审计规则:
[root@linuxcool ~]# auditctl -lNo rules添加一条审计规则,用于记录指定用户(UID:1000)的所有打开系统调用的行为:
[root@linuxcool ~]# auditctl -a entry, always -S open -F uid=1000Warning - entry rules deprecated, changing to exit rule]WARNING -32/64 bit syscall mismatch, you should specify an arch删除一条指定的审计规则:
[root@linuxcool ~]# auditctl -d entry, always -S open -F uid=1000Warning - entry rules deprecated, changing to exit rule清空当前系统中已有的全部审计规则:
[root@linuxcool ~]# auditctl -D与该功能相关的Linux命令:xxd命令 以十六进制形式显示文件内容diff3命令 比较3个文件的不同之处mysqld_safe命令 MySQL服务器启动脚本autoreconf命令 更新已经生成的配置文件export命令 将变量提升成环境变量basename命令 显示文件路径名的基本文件名nl命令-显示文件内容及行号xzcmp命令 比较xz压缩文件updatedb命令 创建或更新数据库文件chfn命令 系统管理上一篇:less命令 分页显示文件内容(分页limit参数)
下一篇:tcpdump命令 监听网络流量(tcpdump 监听指定端口)
