Linux auditctl命令

摘自:https://deepinout.com/linux-cmd/linux-audit-system-related-cmd/linux-cmd-auditctl.html

Linux auditctl命令:控制内核的审计系统。

Linux auditctl命令 功能描述

使用auditctl命令可以对内核中的审计系统进行控制,可以用来获取audit状态和添加/删除audit规则。

Linux auditctl命令 语法

auditctl [选项]

命令中各选项的含义如表所示。

 

在使用-a选项时可以使用的列表名称如表所示。

在使用-a选项时可以使用的动作如表所示。

 在使用-F选项时可以使用的有效的字段名如表所示。

 

Linux auditctl命令 示例

查看audit运行状态

[root@rhel ~]# auditctl -s
AUDIT_STATUS: enabled=1 flag=0 pid=2695 rate_limit=0 backlog_limit=320 lost=0 backlog=0
//auditd进程的运行状态是正常的
查看现有的audit规则
[root@rhel ~]# auditctl -l
No rules
添加一条audit规则,记录用户zhangsan(UID为500)的所有open系统调用
[root@rhel ~]# auditctl -a entry, always -S open -F uid=500
Warning - entry rules deprecated, changing to exit rule]
WARNING -32/64 bit syscall mismatch, you should specify an arch
[root@rhel ~]# auditctl -l
LIST_RULES: exit, always uid=500 (0x1f4) syscall=open
删除audit规则
 
[root@rhel ~]# auditctl -d entry, always -S open -F uid=500
Warning - entry rules deprecated, changing to exit rule
添加一条规则,不记录用户登录类型的消息
[root@rhel ~]# auditctl -a exclude, always -F msgtype=USER_LOGIN
添加一条audit规则,监视/etc/passwd文件被读、写、执行、修改文件属性的操作记录, mykey_name是可选参数,产生一个易标识的日志入口关键字
[root@rhel ~]# auditctl -w /etc/passwd -p rwax -k mykey_name
添加一条audit规则,记录指定用户打开的文件
[root@rhel ~]# auditctl -a exit, always -S open -F auid=510
添加一条audit规则,记录不成功的open系统调用
[root@rhel ~]# auditctl -a exit, always -S open -F success! =0
添加一条audit规则,记录进程PID为1005程序所做的所有系统调用
[root@rhel ~]# auditctl -a exit, always -S all -F pid=1005
 

删除所有的audit规则

 
[root@rhel ~]# auditctl -D
posted @   LiuYanYGZ  阅读(686)  评论(0编辑  收藏  举报
相关博文:
·  Linux audit-viewer命令
·  Linux aureport命令
·  理解Linux Audit Service
·  Linux审计框架auditd
·  4步教你学会使用Linux-Audit工具
阅读排行:
· winform 绘制太阳,地球,月球 运作规律
· AI与.NET技术实操系列(五):向量存储与相似性搜索在 .NET 中的实现
· 超详细:普通电脑也行Windows部署deepseek R1训练数据并当服务器共享给他人
· 【硬核科普】Trae如何「偷看」你的代码?零基础破解AI编程运行原理
· 上周热点回顾(3.3-3.9)
历史上的今天:
2019-11-29 source insight 使用配置(私人)
2019-11-29 source insight 4.0常见问题及相关配置
2019-11-29 Source Insight解决回车缩进过多问题
2016-11-29 java提高篇(九)-----详解匿名内部类
2016-11-29 ObjectOutputStream 追加写入读取错误 - 自己的实现方案
2016-11-29 ObjectOutputStream 追加写入读取错误
2016-11-29 JAVA JNI
点击右上角即可分享
微信分享提示
AI IDE Trae