服务详情

init.d 脚本位置

/etc/init.d/auditd

chkconfig 输出示例

# chkconfig --list auditd
auditd          0:off   1:off   2:on    3:on    4:on    5:on    6:off

可用的服务使用选项

# service auditd
Usage: /etc/init.d/auditd {start|stop|status|restart|condrestart|reload|rotate}

启动auditd服务：

# service auditd start
Starting auditd:                                           [  OK  ]

停止auditd服务：

# service auditd stop
Stopping auditd:                                           [  OK  ]

要检查auditd服务的状态：

# service auditd status
auditd (pid 8951) is running...

要重新启动auditd服务：

# service auditd restart
Stopping auditd:                                           [  OK  ]
Starting auditd:                                           [  OK  ]

有条件地重启auditd服务：

# service auditd condrestart
Stopping auditd:                                           [  OK  ]
Starting auditd:                                           [  OK  ]

重新加载auditd服务：

# service auditd reload
Reloading configuration:                                   [  OK  ]

轮换日志：

# service auditd rotate
Rotating logs:                                             [  OK

它运行哪些守护进程

/sbin/auditd

它加载了哪些模块

audit-libs
audit-libs-python

为什么要保持 auditd 运行？

日志中的信息可能有助于调试与安全相关的问题。
例如，auditd 用于记录 SELinux 事件。
还有一些实用程序，例如 aureport，可让我们查看审核日志。

auditd服务说明

auditd 是 Linux 审计系统的用户空间组件。
它负责将审计记录写入磁盘。
查看日志是使用 ausearch 或者 aureport 实用程序完成的。
审计规则的配置是通过 auditctl 实用程序完成的。
在启动过程中，/etc/audit.rules 中的规则由auditctl 读取。
审计守护进程本身有一些管理员可能希望自定义的配置选项。
它们位于 auditd.conf 文件中。

Linux 审计系统提供内核驻留的系统调用日志和用户空间工具来收集和查看日志。
auditd 守护进程将日志记录写入磁盘。
auditd 可配置为允许控制写入日志的信息。

其他信息

RPM 包

audit-[version]-[release]
audit-libs-[version]-[release]
audit-libs-python-[version]-[release]

配置文件

/etc/audit/audit.rules - audit rules to be loaded at startup
/etc/audit/auditd.conf - configuration file for audit daemon
/etc/sysconfig/auditd  - additional configuration file