1 安装auditd
sudo apt update
sudo apt-get install auditd
2 修改配置
#sudo vim /etc/audit/auditd.conf
#日志文件位置
log_file = /var/log/audit/audit.log
#日志文件大小(Mb)
max_log_file = 8
#日志文件数量
num_logs = 5
3 启动服务
sudo systemctl restart auditd
sudo systemctl enable auditd
4 增加规则
sudo vim /etc/audit/rules.d/audit.rules
-w /etc/resolv.conf -p rw -k testfile-w 指定要监控的文件或者命令
-p 监控属性,比如读,写
-k 自定义关键字,方面查询5 audit测试规则
#查看规则
auditctl -l
-w /etc/resolv.conf -p rw -k testfile
#修改dns文件
sudo vim /etc/resolv.conf
nameserver 8.8.8.86 查看日志
#sudo ausearch -i -k testfile
-i 日志显示更明细
-k 指定关键字查找
-c 指定命令比如vim
#sudo ausearch -i -k testfile --start 07/10/2024 16:00 --end 07/10/2024 16:59按照特定时间段查询
 安装 Auditd 安全审计 "Ubuntu 22.04.4 LTS (linux) 安装 Auditd 安全审计")
