7.4. 启动 审计 服务
配置了
auditd 后,启动服务以收集审计信息并将其存储在日志文件中。以 root 用户身份运行以下命令来启动 auditd :
~]# service auditd start注意
service命令是与
auditd 守护进程正确交互的唯一方法。您需要使用 service 命令,以便正确记录 auid 值。您只将 systemctl 命令用于两个操作: enable 和 status。
将
auditd 配置为在引导时启动:
~]# systemctl enable auditd
可以使用 service auditd action 命令对
auditd 执行许多其他操作,其中 action 可以是以下之一:
- stop
- 停止
auditd。 - restart
- 重新启动
auditd。 - reload 或 force-reload
- 重新加载
/etc/audit/auditd.conf文件中 auditd 的配置。 - rotate
- 轮转
/var/log/audit/目录中的日志文件。 - resume
- 在其之前被暂停后重新恢复审计事件记录,例如,当保存审计日志文件的磁盘分区中没有足够的可用空间时。
- condrestart 或 try-restart
- 只有当 auditd 运行时才重新启动它。
- status
- 显示 auditd 的运行状态。
