要设置auditd的审计规则,请按照以下步骤进行:
编辑audit规则文件:运行命令sudo vi /etc/audit/rules.d/audit.rules来编辑audit规则文件。您可以根据需要添加新的审计规则或修改现有规则。
添加审计规则:在audit规则文件中,您可以添加规则来监控特定的系统操作,如文件访问、用户登录、进程创建等。例如,要监控所有用户的文件访问操作,可以添加以下规则:
-a always,exit -F arch=b64 -S open -F success=0
保存并退出文件:在编辑完规则后,按Esc键,然后输入:wq保存并退出文件。
应用新规则:运行命令sudo systemctl restart auditd来重新启动auditd服务以使新规则生效。
检查审计规则:运行命令sudo auditctl -l来列出当前生效的审计规则,确保您的新规则已经添加成功。
通过以上步骤,您可以成功设置auditd的审计规则来监控系统操作并增强系统的安全性。
