Red Hat Training

A Red Hat training course is available for RHEL 8

12.4. 启动和控制 auditd

配置了 auditd 后,启动服务以收集审计信息并将其存储在日志文件中。以 root 用户身份运行以下命令启动 auditd

service auditd start

auditd 配置为在引导时启动

systemctl enable auditd

可以使用 service auditd action 命令对 auditd 执行许多其他操作,其中 action 可以是以下之一:

stop
停止 auditd
restart
重新启动 auditd
reloadforce-reload
/etc/audit/auditd.conf 文件中重新加载 auditd 的配置
rotate
轮转 /var/log/audit/ 目录中的日志文件。
resume
在之前暂停后恢复审计事件记录,例如,当保存 Audit 日志文件的磁盘分区中没有足够的可用空间时。
condrestarttry-restart
只有在 auditd 已在运行时才重新启动。
status
显示 auditd 的运行状态
注意

service命令是与 auditd 守护进程正确交互的唯一方法。您需要使用 service 命令,以便正确记录 auid 值。您只能将 systemctl 命令用于两个操作: enablestatus