在Ubuntu上配置auditd服務可以按照以下步驟進行:
-
安裝auditd服務:在終端中運行以下命令安裝auditd服務:
sudo apt-get update
sudo apt-get install auditd
-
配置audit規則:編輯audit規則配置文件/etc/audit/rules.d/audit.rules�����,添加需要監控的規則�����。例如�����,可以添加以下規則來監控對文件的訪問:
-w /path/to/file -p rwxa -k file-access
-
啟動auditd服務:在終端中運行以下命令啟動auditd服務:
sudo systemctl start auditd
-
設置auditd開機自啟動:在終端中運行以下命令設置auditd開機自啟動:
sudo systemctl enable auditd
-
查看audit日志:可以使用ausearch命令來查詢audit日志�,例如查看最近的100條audit日志記錄:
sudo ausearch -m all -i --start recent -c all -ts today -k file-access
通過以上步驟�,您就可以在Ubuntu上成功配置和啟動auditd服務����,并監控系統的操作和訪問日志�。
