audit的目的:
记录核心层的事件,档案的读写,系统的呼叫。权限的状态
属于内核
syslog的目的:
属于应用层,记录的都是应用层的错误信息
audit 有三個操作的工具
audit 可用的三個指令:
=> auditctl - 控制 kernel audit system,能取得狀態,增或刪除rules、設定某個檔案的「檢視」(watch)。
=> ausearch - 用來查詢 audit logs 的工具。
=> aureport - 產生 audit 系統簡報的工具。
4. 設定檔
audit 的設定檔為 /etc/audit/audit.rules,主要分為三種類別:
? Basic audit system parameters
? File and directory watches
? System call audits
原文地址:http://5228690.blog.51cto.com/5218690/1548287
