在Ubuntu上配置auditd服務可以按照以下步驟進行:
安裝auditd服務:在終端中運行以下命令安裝auditd服務:
sudo apt-get update
sudo apt-get install auditd
配置audit規則:編輯audit規則配置文件/etc/audit/rules.d/audit.rules,添加需要監控的規則。例如,可以添加以下規則來監控對文件的訪問:
-w /path/to/file -p rwxa -k file-access
啟動auditd服務:在終端中運行以下命令啟動auditd服務:
sudo systemctl start auditd
設置auditd開機自啟動:在終端中運行以下命令設置auditd開機自啟動:
sudo systemctl enable auditd
查看audit日志:可以使用ausearch命令來查詢audit日志,例如查看最近的100條audit日志記錄:
sudo ausearch -m all -i --start recent -c all -ts today -k file-access
通過以上步驟,您就可以在Ubuntu上成功配置和啟動auditd服務,并監控系統的操作和訪問日志。
