11.4. 启动和控制 auditd
配置了 auditd 后,启动服务以收集 审计信息,并将它存储在日志文件中。以 root 用户身份运行以下命令来启动 auditd :
# service auditd start
将 auditd 配置为在引导时启动:
# systemctl enable auditd
您可以使用 # auditctl -e 0 命令临时禁用 auditd,并使用 # auditctl -e 1 重新启用它。
您可以使用 service auditd <action> 命令对 auditd 执行其他操作,其中 <action> 可以是以下之一:
stop-
停止
auditd。 restart-
重新启动
auditd。 reload或force-reload-
重新加载
/etc/audit/auditd.conf文件中auditd的配置。 rotate-
轮转
/var/log/audit/目录中的日志文件。 resume- 在其之前被暂停后重新恢复审计事件记录,例如,当保存审计日志文件的磁盘分区中没有足够的可用空间时。
condrestart或try-restart-
只有当
auditd运行时才重新启动它。 status-
显示
auditd的运行状态。
注意
service命令是与 auditd 守护进程正确交互的唯一方法。您需要使用 service 命令,以便正确记录 auid 值。您只将 systemctl 命令用于两个操作: enable 和 status。
