让我们先来构造一条audit日志。在home目录下新建一个目录，然后配置一条audit规则，对这个目录的wrax，都记录审计日志： root用户访问audit_test目录时，即在这个目录下ls，审计日志如下： type=SYSCALL msg=audit ...

参考：https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/security_guide/sec-defining_audit_rules_and_controls 1、启动audit内核模块 ...

audit可以配置规则，这个规则主要是给内核模块下发的，内核audit模块会按照这个规则获取审计信息，发送给auditd来记录日志。 规则类型可分为： 1、控制规则：控制audit系统的规则； 2、文件系统规则：也可以认为是文件监控，可以监控一个特定文件或者一个路径。 3、系统调用 ...

时间 2018-12-23 08:01:11 FreeBuf 原文 https://www.freebuf.com/articles/es/192062.ht ...

audit守护进程可以通过/etc/audit/auditd.conf文件进行配置，默认的auditd配置文件可以满足大多数环境的要求。 如果你的环境需要满足严格的安全规则，如下的一些配置可以参考： log_file：audit 日志放置的路径。这里放置日志的地方最好是一个独立 ...

audit的规则配置稍微不当，就会短时间内产生大量日志，所以这个规则配置一定要当心。当audit日志写满后，可以看到如下场景： 然后在messages日志中有一大堆的warning 之后可能还会影响rsyslog的正常工作。 auditd本身有日志切分的功能，auditd ...

auid=0 　　auid记录Audit user ID,that is the loginuid。当我使用lbh用户登录系统时，再访问audit_test，此时记录的auid为1001，具体日志如下： auid为登录用户的ID，如果是root，ID为0。并且解释 ...

我们使用测试性能的工具，unixbench，它有一下几项测试项目： 测试结果类似如下： 测试了/boot/grub2/grub.cfg 中audit=0，和去除audit=0，以及开启auditd服务等的性能数据： 1、内核参数去掉audit=0,auditd服务 ...

aureport这个命令可以生成一个总结性的柱状图报表，默认情况下，在/var/log/audit目录下的所有日志文件都会生成一个报表，也可以使用如下命令来指定一个不同的文件，aureport options -if file_name。 1、按照时间来生成报告 ...

一、概述 Linux audit通过分析系统上正在发生的细节信息，能够有效帮助您提高系统的安全。但是，它本身不提供额外的安全性保障----它不会保护你的系统免受代码故障或者任何类型的漏洞攻击。Audit服务对跟踪这些安全问题非常有用，并且有效帮助我们采取何种针对性的安全措施。 Audit由几个 ...