參考：https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/security_guide/sec-defining_audit_rules_and_controls 1、啟動audit內核模塊 ...

aureport這個命令可以生成一個總結性的柱狀圖報表，默認情況下，在/var/log/audit目錄下的所有日志文件都會生成一個報表，也可以使用如下命令來指定一個不同的文件，aureport options -if file_name。 1、按照時間來生成報告 ...

讓我們先來構造一條audit日志。在home目錄下新建一個目錄，然后配置一條audit規則，對這個目錄的wrax，都記錄審計日志： root用戶訪問audit_test目錄時，即在這個目錄下ls，審計日志如下： type=SYSCALL msg=audit ...

audit ['ɔːdɪt] 審計 auditd是linux的一個審計服務。 這是man下的解釋 auditd is the userspace component to the Linux Auditing System. It’s responsible for writing ...

http://blog.chinaunix.net/uid-20786165-id-3167391.html http://blog.chinaunix.net/uid-8389195-id-1741610.html Linux的日志系統與審核系統 最近在讀倪繼利的《Linux安全體系分析 ...

audit守護進程可以通過/etc/audit/auditd.conf文件進行配置，默認的auditd配置文件可以滿足大多數環境的要求。 如果你的環境需要滿足嚴格的安全規則，如下的一些配置可以參考： log_file：audit 日志放置的路徑。這里放置日志的地方最好是一個獨立 ...

auid=0 　　auid記錄Audit user ID,that is the loginuid。當我使用lbh用戶登錄系統時，再訪問audit_test，此時記錄的auid為1001，具體日志如下： auid為登錄用戶的ID，如果是root，ID為0。並且解釋 ...

讓我們先來構造一條audit日志。在home目錄下新建一個目錄，然后配置一條audit規則，對這個目錄的wrax，都記錄審計日志： root用戶訪問audit_test目錄時，即在這個目錄下ls，審計日志如下： type=SYSCALL msg=audit ...