Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

7.4. 启动 审计 服务

配置了 auditd 后,启动服务以收集审计信息并将其存储在日志文件中。以 root 用户身份运行以下命令来启动 auditd
~]# service auditd start
注意
service命令是与 auditd 守护进程正确交互的唯一方法。您需要使用 service 命令,以便正确记录 auid 值。您只将 systemctl 命令用于两个操作: enablestatus
auditd 配置为在引导时启动:
~]# systemctl enable auditd
可以使用 service auditd action 命令对 auditd 执行许多其他操作,其中 action 可以是以下之一:
stop
停止 auditd
restart
重新启动 auditd
reloadforce-reload
重新加载 /etc/audit/auditd.conf 文件中 auditd 的配置。
rotate
轮转 /var/log/audit/ 目录中的日志文件。
resume
在其之前被暂停后重新恢复审计事件记录,例如,当保存审计日志文件的磁盘分区中没有足够的可用空间时。
condrestarttry-restart
只有当 auditd 运行时才重新启动它。
status
显示 auditd 的运行状态。