Auditd是一个安全审计工具，他可以监控文件和进程，把审计记录写入磁盘.

2015-11-11 11:38:00

Auditd安装后，由以下几个重要文件组成：
/sbin/auditd
/sbin/aureport
/sbin/ausearch
/sbin/auditctl
/sbin/autrace
/etc/audit/audit.rules
/etc/audit/auditd.conf


auditctl : 即时控制审计守护进程的行为的工具，比如如添加规则等等。
aureport : 查看和生成审计报告的工具。
ausearch : 查找审计事件的工具
auditspd : 转发事件通知给其他应用程序，而不是写入到审计日志文件中。
autrace : 一个用于跟踪进程的命令。
/etc/audit/auditd.conf : auditd工具的配置文件。
/etc/audit/audit.rules : 记录审计规则的文件。

使用方法：
1,auditctl -l 查看现有的审计规则

2,auditctl -w /etc/passwd -p rwxa 对/etc/passwd文件进行监测
-p : 指定触发审计的文件/目录的访问权限
rwxa ： 指定的触发条件，r 读取权限，w 写入权限，x 执行权限，a 属性（attr）

2.5, auditctl -W /etc/passwd -p rwxa 删除一条审计规则
2.6, auditctl -D 删除所有规则

3,auditctl -w /etc/passwd -p rwxa 对/etc/目录进行监测

4,ausearch -f /etc/passwd 查看，对/etc/passwd文件监测的log
time : 审计时间。
name : 审计对象
cwd : 当前路径
syscall : 相关的系统调用
auid : 审计用户ID
uid 和 gid : 访问文件的用户ID和用户组ID
comm : 用户访问文件的命令
exe : 上面命令的可执行文件路径

Auditd提供了另一个工具叫 aureport 。aureport 是使用系统审计日志生成简要报告的工具。

审计规则也可以写入到/etc/audit/audit.rules里。