参考文档 https://www.ibm.com/developerworks/cn/linux/l-lo-use-space-audit-tool/index.html
参考文档 https://www.cnblogs.com/bldly1989/p/7204358.html
Linux auditd 工具可以将审计记录写入日志文件。包括记录系统调用和文件访问。管理员可以检查这些日志,确定是否存在安全漏洞。
Linux 用户空间审计系统由 auditd、audispd、auditctl、autrace、ausearch 和 aureport 等应用程序组成。下面依次说明:
2 个配置文件: /etc/audit/auditd.conf 和/etc/audit/audit.rules 。/etc/audit/auditd.conf 是守护程序的默认配置文件。/etc/audit/audit.rules 是记录审计规则的文件。
常用命令
1,生成审计报告
aureport
常用的两个选项:
-l 报告登录信息
-m 报告账户修改信息
不加选项,生产汇总报表。
其他详见帮助文档。
日志文件路径
/var/log/audit/audit.log
个人认为配合aide使用效果更佳。
原文链接:linux中audit审计服务,转载请注明来源!