如何在Linux中使用Auditd安全审计工具

1、首先auditd或auditd守护进程是审计系统中用户空间的一个组件，其负责将审计记录写入磁盘。

2、接着以使用wajig工具或者apt-get工具安装auditd工具，即时控制审计守护进程的行为的工具，比如如添加规则等等。

3、然后记录审计规则的文件，查看和生成审计报告的工具，转发事件通知给其他应用程序，而不是写入到审计日志文件中。

4、接着可以使用以下命令查看，使用审计工具的一个懋鲕壶迎基本的需求是监控文件和目录的更改，使用auditd工具，通过如下命令来配置注意，以下命令需要root权限。

5、然后指定要监控的路径，上面的命令指定了监控的文件路径/etc/passwd，指定触发审计的文件/目录的访问权限。

6、添加规则后，可以查看auditd的日志使用ausearch工具可以查看auditd日志，添加规则监控/etc/passwd文件，现在可以使用ausearch工具的以下命令来查看审计日志。