5.4. audit サービスの起動

auditd を適切に設定したら、サービスを起動して Audit 情報を収集し、ログファイルに保存します。root で以下のコマンドを実行して auditd を起動します。
~]# service auditd start

注記

service コマンドは、auditd デーモンと正しく対話する唯一の方法です。auid の値が正しく記録されるように service コマンドを使用する必要があります。systemctl コマンドは、enablestatus の 2 つのアクションにのみ使用できます。
オプションでは、root で以下のコマンドを実行すると、auditd がブート時に起動するように設定できます。
~]# systemctl enable auditd
auditd では、service auditd action コマンドを使用して、他のアクションが実行できます。ここでの action は、以下のいずれかになります。
  • stopauditd を停止します。
  • restartauditd を再起動します。
  • reload または force-reloadauditd の設定を /etc/audit/auditd.conf ファイルから再読み込みします。
  • rotate/var/log/audit/ ディレクトリー内のログファイルを交代させます。
  • resume — Audit イベントのログが一旦停止された後、再開します。たとえば、Audit ログファイルがあるディスクパーティションの未使用スペースが十分でない場合などです。
  • condrestart または try-restartauditd がすでに実行中の場合にのみ、これを再起動します。
  • status — 実行中の auditd のステータスを表示します。