11.4. auditd の開始および制御
auditd が設定されたら、サービスを起動して Audit 情報を収集し、ログファイルに保存します。root ユーザーで次のコマンドを実行し、auditd を起動します。
# service auditd start
システムの起動時に auditd が起動するように設定するには、次のコマンドを実行します。
# systemctl enable auditd
# auditctl -e 0 で auditd を一時的に無効にし、# auditctl -e 1 で再度有効にできます。
service auditd <action> コマンドを使用すると、auditd で他のアクションを実行できます。<action> は次のいずれかです。
stop-
auditdを停止します。 restart-
auditdを再起動します。 reloadまたはforce-reload-
/etc/audit/auditd.confファイルからauditdの設定を再ロードします。 rotate-
/var/log/audit/ディレクトリーのログファイルをローテーションします。 resume- Audit イベントのログが一旦停止した後、再開します。たとえば、Audit ログファイルが含まれるディスクパーティションの未使用領域が不足している場合などです。
condrestartまたはtry-restart-
auditdがすでに起動している場合にのみ、これを再起動します。 status-
auditdの稼働状況を表示します。
注記
service コマンドは、auditd デーモンと正しく相互作用する唯一の方法です。auid 値が適切に記録されるように、service コマンドを使用する必要があります。systemctl コマンドは、2 つのアクション (enable および status) にのみ使用できます。
