正文:
步骤一:添加监控命令的 audit 规则
1.1 添加监控命令的 audit 规则的格式
配置文件格式:
-w <file> -p wa -k <search_key>命令格式:
# auditctl -w <file> -p wa -k <search_key>(
补充:
1) 这里的 <file> 是要监控的文件
2) 这里的 <search_key> 是个标识,用于简化在 audit 日志里搜索此命令
)
1.2 添加监控命令的 audit 规则的案例
配置文件的案例:
-w /etc/group -p wa -k group_file命令案例:
# auditctl -w /etc/group -p wa -k group_file(
补充:这里以
1) 监控 /etc/group 文件
2) 标识是 group_file 为例
)
步骤二:让刚刚在配置文件里添加的规则生效
2.1 合并新添加的 audit 规则
# augenrules2.2 重启 auditd 服务
# service auditd restart步骤三:查看新添加的规则
# auditctl -l步骤四:查看某个表示的 audit 日志
# ausearch -k group_file(补充:这里以查看标识为 group_file 的 audit 日志为例)
参考文献:
https://access.redhat.com/solutions/3401281