11.4. auditd 시작 및 제어
auditd 가 구성된 후 서비스를 시작하여 감사 정보를 수집하여 로그 파일에 저장합니다. auditd 를 시작하려면 root 사용자로 다음 명령을 사용합니다.
# service auditd start
부팅 시 시작하도록 auditd 를 구성하려면 다음을 수행합니다.
# systemctl enable auditd
# auditctl -e 0 명령을 사용하여 auditd 를 일시적으로 비활성화하고 # auditctl -e 1 을 사용하여 다시 활성화할 수 있습니다.
service auditd < action> 명령을 사용하여 에서 다른 작업을 수행할 수 있습니다. 여기서 < action >은 다음 중 하나일 수 있습니다.
auditd
중지-
auditd를 중지합니다. 재시작-
auditd를 다시 시작합니다. 다시 로드또는강제 로드-
/etc/audit/auditd.conf파일에서auditd구성을 다시 로드합니다. rotate-
/var/log/audit/디렉터리에서 로그 파일을 순환합니다. resume- 감사 로그 파일을 보유하는 디스크 파티션에 사용 가능한 공간이 충분하지 않은 경우와 같이 이전에 일시 중지된 후 감사 이벤트의 로깅을 재개합니다.
condrestart또는try-restart-
auditd가 이미 실행 중인 경우에만 다시 시작합니다. status-
auditd의 실행 상태를 표시합니다.
참고
service 명령은 auditd 데몬과 올바르게 상호 작용하는 유일한 방법입니다. auid 값이 올바르게 기록되도록 service 명령을 사용해야 합니다. systemctl 명령은 두 가지 작업인 enable 및 status 에만 사용할 수 있습니다.
