5.4. 开始 audit 服务

一旦 auditd 进行适当配置,就可以开始服务来收集审核信息,并在日志文件中储存。作为 root 用户来开始执行以下指令 auditd
~]# service auditd start
您可以可选择性地配置 auditd,作为 root 用户在启动事件开始使用以下指令:
~]# chkconfig auditd on
auditd上可以执行一些其他的行动, 使用 service auditd action 命令,action 可能是以下其中之一:
  • stop — 停止 auditd
  • restart — 重启auditd
  • reload 或者 force-reload — 重新加载 auditd/etc/audit/auditd.conf 文件中的配置。
  • rotate — 在 /var/log/audit/ 目录中旋转日志文件。
  • resume — 在推迟审核事件日志之后重新开始,例如存在没有足够的磁盘分区空间来保存审核日志文件情况。
  • condrestart 或者 try-restart — 只有当它已经在运行时,重启 auditd
  • status — 显示运行状态 auditd