正文:
步骤一:添加监控命令的 audit 规则
1.1 添加监控命令的 audit 规则的格式
-w <command> -p x -k <search_key>(
补充:
1) 这里的 <command> 是要监控的命令
2) 这里的 <search_key> 是个标识,用于简化在 audit 日志里搜索此命令
)
1.2 添加监控命令的 audit 规则的案例
-w /usr/bin/rm -p x -k rm_command(
补充:这里以
1) 监控 /usr/bin/rm 命令
2) 标识是 rm_command 为例
)
步骤二:让刚刚添加的规则生效
2.1 合并新添加的 audit 规则
# augenrules2.2 重启 auditd 服务
# service auditd restart步骤三:查看新添加的规则
# auditctl -l步骤四:查看某个表示的 audit 日志
# ausearch -k rm_command(补充:这里以查看标识为 rm_command 的 audit 日志为例)
参考文献:
https://access.redhat.com/solutions/3401281