-F:创建一个字段。 -i:忽略读取文件时的错误。 -k:设置要过滤的关键词。 -l:显示所有的规则。 -p:设置审计文件的权限。 -R:设置从文件中读取规则。 -s:显示审计系统状态。 -S:设置规则名称。 -w:设置要监控的路径。 在使用auditctl时,可以根据实际需求选择合适的参数和选项进行操作。©...
审计ctl命令的语法结构非常直观,只需了解几个关键参数即可高效操作。例如,如果你想了解当前审计子系统的运行状况,只需输入简单的命令:sudo auditctl -s。这将返回关于审计系统状态的详细信息,帮助你评估其是否正常运行。同样,对于审计规则的管理,auditctl -l命令是必不可少的。它会列出所有现有的审...
auditctl -a <action>,<filter> -S <syscall> -F <field>=<value> -k <key> •<action>:指定要执行的动作,包括always(始终记录)、never(永不记录)和exit(只记录退出事件)。 •<filter>:指定过滤器,用于限制规则适用的范围,包括task(进程级别)、exit(退出事件)和user(用户级别)。 •<syscall>:指定...