auditd 是 Linux 审计系统的用户空间组件。
这意味着系统用户将能够运行 auditd 来为 Linux 系统的审计功能配置规则和警报。
auditd 最好的事情之一是它与内核紧密集成，因此它使我们能够监视几乎所有我们想要的东西，真的。

为了让用户看到正在发生的事情，auditd 可以将所有与审计相关的事件记录到磁盘，我们可以使用各种工具，例如 ausearch 或者 aureport 来查看日志文件。
默认情况下，没有配置任何规则。
我们需要在 /etc/audit/rules.d/audit.rules 配置文件中写入我们的规则，该文件将被读取并应用相应的审计操作。

禁用不可变模式

如果审计系统处于不可变模式，则不允许更改规则。
因此，如果尚未注释，请确保我们还在条目下方的 /etc/audit/audit.rules 中注释。

# vi /etc/audit/audit.rules
# Make the configuration immutable -- reboot is required to change audit rules
#-e 2

完成上述更改后，我们需要重新启动系统。

# shutdown -r now

在正常情况下，只需重新启动 auditd 服务：

# service auditd restart

从审计规则中忽略/排除文件/目录

排除目录

最简单的方法是简单地从日志中禁用路径，例如：

# vi /etc/audit/rules.d/audit.rules
-a never,exclude -F dir=/path/to/exclude -k exclude_dir

以上将排除目录 /path/to/exclude 被审计记录。

排除文件

从审计中排除文件：

# vi /etc/audit/rules.d/audit.rules
-a never,exclude -F path=/file_to_exclude -k exclude_file

其中：
-a 将规则添加到列表末尾并带有操作。

never 不会生成审计记录。

exclude 添加规则到事件类型排除过滤器列表
-F 规则字段，如路径、inode 编号、文件名等。

用于排除的其他规则字段

我们还可以使用各种其他规则字段（如 inode 编号、命令/应用程序名称（如 /sbin/rm 等））禁用文件/目录的审核。

# vi /etc/audit/rules.d/audit.rules
-a never,exclude -F exe=/usr/bin/java -k exclude_java
-a never,exclude -F inode=17910851 -k exclude_inode

从 UID 中排除所有操作

添加以下格式以从 uid 中排除所有操作。

# vi /etc/audit/rules.d/audit.rules
-a exit,never -F auid=[UID number]