应用安全-安全审计日志目录  /var/log/audit/audit.log

[root@localhost audit]# cd /etc/audit/
[root@localhost audit]# ls
auditd.conf audit.rules rules.d

添加审计规则

auditctl -w /etc/passwd -p wa

监视/etc/passwd文件被写、修改文件属性的操作，并记录

auditctl -w /etc/sudoers -p wa

监视/etc/sudoers文件被写、修改文件属性的操作，并记录

auditctl -w /var/lib/mysql -p wa

监视/var/lib/mysql 文件被写、修改文件属性的操作，并记录

auditctl -w /var/log/secure -p wa

监视/var/log/secur 文件被写、修改文件属性的操作，并记录

-w 监控文件路径
-p 监控文件筛选 r(读) w(写) x(执行) a(属性改变)

审计audit总结

#查看审计规则

#auditctl -l

#添加审计规则

#-w path : 指定要监控的路径，上面的命令指定了监控的文件路径 /etc/passwd

#-p : 指定触发审计的文件/目录的访问权限

#-k 给当前这条监控规则起个名字，方便搜索过滤

#rwxa ： 指定的触发条件，r 读取权限，w 写入权限，x 执行权限，a 属性（attr）

#auditctl -w /etc/passwd -p rwxa

#查看审计日志

#ausearch -f /etc/passwd

#生成简要报告

#aureport

注意：用
auditd 添加审计规则是临时的，立即生效，但是系统重启失效。重启仍然有效，需要在 /etc/audit/audit.rules 文件中添加规则，然后重启服务： 
service auditd restart 或者 service auditd
reload