Linux auditctl命令

Linux auditctl命令：控制内核的审计系统。

Linux auditctl命令 功能描述

使用auditctl命令可以对内核中的审计系统进行控制，可以用来获取audit状态和添加/删除audit规则。

Linux auditctl命令 语法

auditctl [选项]

命令中各选项的含义如表所示。

在使用-a选项时可以使用的列表名称如表所示。

在使用-a选项时可以使用的动作如表所示。

在使用-F选项时可以使用的有效的字段名如表所示。

Linux auditctl命令 示例

查看audit运行状态

[root@rhel ～]# auditctl -s
AUDIT_STATUS: enabled=1 flag=0 pid=2695 rate_limit=0 backlog_limit=320 lost=0 backlog=0
//auditd进程的运行状态是正常的

查看现有的audit规则

[root@rhel ～]# auditctl -l
No rules

添加一条audit规则，记录用户zhangsan（UID为500）的所有open系统调用

[root@rhel ～]# auditctl -a entry, always -S open -F uid=500
Warning - entry rules deprecated, changing to exit rule]
WARNING -32/64 bit syscall mismatch, you should specify an arch
[root@rhel ～]# auditctl -l
LIST_RULES: exit, always uid=500 (0x1f4) syscall=open

删除audit规则

[root@rhel ～]# auditctl -d entry, always -S open -F uid=500
Warning - entry rules deprecated, changing to exit rule

添加一条规则，不记录用户登录类型的消息

[root@rhel ～]# auditctl -a exclude, always -F msgtype=USER_LOGIN

添加一条audit规则，监视/etc/passwd文件被读、写、执行、修改文件属性的操作记录

[root@rhel ～]# auditctl -w /etc/passwd -p rwax

添加一条audit规则，记录指定用户打开的文件

[root@rhel ～]# auditctl -a exit, always -S open -F auid=510

添加一条audit规则，记录不成功的open系统调用

[root@rhel ～]# auditctl -a exit, always -S open -F success! =0

添加一条audit规则，记录进程PID为1005程序所做的所有系统调用

[root@rhel ～]# auditctl -a exit, always -S all -F pid=1005

删除所有的audit规则

[root@rhel ～]# auditctl -D