auditctl命令 管理内核的审计系统(audit install success)

auditctl命令来自英文词组“audit contol”的缩写，其功能是用于管理内核的审计系统。系统管理员

推荐整理分享auditctl命令 管理内核的审计系统(audit install success)，希望有所帮助，仅作参考，欢迎阅读内容。

文章相关热门搜索词:audit install success,audit document,audit document,audo命令,audo命令,auto命令大全,audit document,auditctl -w,内容如对您有帮助，希望把文章链接给更多的朋友！

auditctl命令来自英文词组“audit contol”的缩写，其功能是用于管理内核的审计系统。系统管理员可以使用auditctl命令对Linux系统内核的审计系统进行管理，例如执行查看审计系统状态、添加或删除审计规则等等操作。

语法格式：auditctl [参数]

常用参数：

-a向列表尾部添加规则-A向列表头部添加规则-b设置缓冲区最大值-d删除规则-D清空全部规则-F创建一个字段-i忽略读取文件时的错误-k设置要过滤的关键词-l显示所有的规则-p设置审计文件的权限-R设置从文件中读取规则-s显示审计系统状态-S设置规则名称-w设置要监控的路径

参考示例

查看审计系统的运行状态信息：

[root@linuxcool ~]# auditctl -s enabled 1failure 1pid 937rate_limit 0backlog_limit 8192lost 0backlog 0backlog_wait_time 60000loginuid_immutable 0 unlocked

查看现有的审计规则：

[root@linuxcool ~]# auditctl -lNo rules

添加一条审计规则，用于记录指定用户（UID：1000）的所有打开系统调用的行为：

[root@linuxcool ~]# auditctl -a entry, always -S open -F uid=1000Warning - entry rules deprecated, changing to exit rule]WARNING -32/64 bit syscall mismatch, you should specify an arch

删除一条指定的审计规则：

[root@linuxcool ~]# auditctl -d entry, always -S open -F uid=1000Warning - entry rules deprecated, changing to exit rule

清空当前系统中已有的全部审计规则：

[root@linuxcool ~]# auditctl -D与该功能相关的Linux命令：xxd命令 以十六进制形式显示文件内容diff3命令 比较3个文件的不同之处mysqld_safe命令 MySQL服务器启动脚本autoreconf命令 更新已经生成的配置文件export命令 将变量提升成环境变量basename命令 显示文件路径名的基本文件名nl命令-显示文件内容及行号xzcmp命令 比较xz压缩文件updatedb命令 创建或更新数据库文件chfn命令 系统管理