帮别人起名 做ppt的网站/班级优化大师官网

如果系统默认不支持开启audit日志审计的话，我们需要按照如下方式进行设置。
1、备份配置文件 cp -r /etc/default/grub /etc/default/grub.bak
2、修改配置文件 vim /etc/default/grub，按“i”键编辑修改，移除audit=0参数，并保存

3、重新生成grub配置文件

grub2-mkconfig -o /boot/efi/EFI/kylin/grub.cfg

4、查看配置文件中是否已修改(检查生成的GRUB配置文件，以确认audit=0参数已被移除)

cat /boot/efi/EFI/kylin/grub.cfg

5、重启服务器

reboot

6、重启之后查看服务启动状态

7、编辑日志审计规则

vim /etc/audit/rules.d/audit.rules

-w /etc/passwd -p rwxa -k passwd_watch
-a always,exit -F arch=b64 -S chmod -k chmod_watch
-a always,exit -F arch=b64 -S execve -F key=login_events

8、重启audit服务

systemctl restart auditd

9、查看规则 auditctl -l

结束！！