参考：https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/security_guide/sec-defining_audit_rules_and_controls 1、启动audit内核模块 ...

aureport这个命令可以生成一个总结性的柱状图报表，默认情况下，在/var/log/audit目录下的所有日志文件都会生成一个报表，也可以使用如下命令来指定一个不同的文件，aureport options -if file_name。 1、按照时间来生成报告 ...

让我们先来构造一条audit日志。在home目录下新建一个目录，然后配置一条audit规则，对这个目录的wrax，都记录审计日志： root用户访问audit_test目录时，即在这个目录下ls，审计日志如下： type=SYSCALL msg=audit ...

audit ['ɔːdɪt] 审计 auditd是linux的一个审计服务。 这是man下的解释 auditd is the userspace component to the Linux Auditing System. It’s responsible for writing ...

http://blog.chinaunix.net/uid-20786165-id-3167391.html http://blog.chinaunix.net/uid-8389195-id-1741610.html Linux的日志系统与审核系统 最近在读倪继利的《Linux安全体系分析 ...

audit守护进程可以通过/etc/audit/auditd.conf文件进行配置，默认的auditd配置文件可以满足大多数环境的要求。 如果你的环境需要满足严格的安全规则，如下的一些配置可以参考： log_file：audit 日志放置的路径。这里放置日志的地方最好是一个独立 ...

auid=0 　　auid记录Audit user ID,that is the loginuid。当我使用lbh用户登录系统时，再访问audit_test，此时记录的auid为1001，具体日志如下： auid为登录用户的ID，如果是root，ID为0。并且解释 ...

让我们先来构造一条audit日志。在home目录下新建一个目录，然后配置一条audit规则，对这个目录的wrax，都记录审计日志： root用户访问audit_test目录时，即在这个目录下ls，审计日志如下： type=SYSCALL msg=audit ...