Per installare il servizio auditd, eseguire il comando seguente:
```
sudo yum installa auditd
```
Una volta installato il servizio auditd, puoi configurarlo modificando il file `/etc/audit/auditd.conf`.
Per abilitare il servizio auditd, imposta il parametro "enabled" su "1".
```
[globale]
abilitato =1
```
Il parametro "log_file" specifica il percorso del file di registro di controllo e il parametro "max_log_file" specifica la dimensione massima del file di registro di controllo.
```
[globale]
file_log =/var/log/audit/audit.log
max_file_log =50M
```
Le regole di controllo definiscono quali eventi devono essere registrati dal servizio auditd. Puoi configurare le regole di controllo aggiungendole al file `/etc/audit/audit.rules`.
La seguente regola di esempio registrerà tutti i tentativi di accesso non riusciti:
```
-w /var/log/faillog -p wa -k login
```
Dopo aver apportato modifiche alla configurazione di auditd, è necessario riavviare il servizio auditd affinché le modifiche abbiano effetto.
```
sudo systemctl riavvia auditd
```
Per verificare che il servizio auditd sia in esecuzione, eseguire il comando seguente:
```
sudo systemctl stato auditd
```
Se il servizio auditd è in esecuzione, dovresti vedere un output simile al seguente:
```
● auditd.service - LSB:avvia/arresta il servizio di controllo Linux
Caricato:caricato (/etc/rc.d/init.d/auditd)
Attivo:attivo (in funzione) da gio 2021-06-10 09:23:07 UTC; 2 secondi fa
Documenti:man:systemd-sysv-generator(8)
PID principale:16252 (audit)
Compiti:1 (limite:11347)
CGroup:/system.slice/auditd.service
├─16252 auditd
└─16258 dormire
10 giugno 09:23:07 rocklinux auditd[16252]:auditd_start:inizializzazione del servizio di controllo del kernel
10 giugno 09:23:07 rocklinux auditd[16252]:auditd_configure:impostazione del filtro auditd sulle regole in /etc/audit/audit.rule
```
sistemi © www.354353.com