当在运行守护进程之后更改审计配置时,此过程将重新启动 auditd 守护进程。
承担拥有审计控制权限配置文件的角色或成为超级用户。
要创建拥有审计控制权限配置文件的角色并将该角色指定给用户,请参见配置 RBAC(任务列表)。
选择适当的命令。
如果修改 audit_control 文件中的 naflags 行,请更改无归属事件的内核掩码。
$ /usr/sbin/auditconfig -aconf |
也可以重新引导。
如果修改 audit_control 文件中的其他行,请重新读取 audit_control 文件。
审计守护进程内部存储 audit_control 文件的信息。要使用新信息,请重新引导系统或指示审计守护进程读取已修改的文件。
$ /usr/sbin/audit -s |
将基于与每个进程相关联的审计预选掩码生成审计记录。执行 audit -s 不会在现有进程中更改掩码。要更改现有进程的预选掩码,必须重新启动此进程。也可以重新引导。
audit -s 命令使审计守护进程从 audit_control 文件中重新读取 directory 和 minfree 值。此命令会更改后续登录所产生进程的预选掩码的生成。
如果在审计守护进程运行时修改 audit_event 文件或 audit_class 文件,请刷新审计服务。
将已修改事件到类的映射读入系统,并且确保正确审计使用此计算机的每个用户。
$ auditconfig -conf $ auditconfig -setumask auid classes |
用户 ID。
预选审计类。
要在正在运行的系统上更改审计策略,请参见示例 29–15。
在本示例中,系统降为单用户模式,随后回升到多用户模式。当系统进入多用户模式时,会将已修改的审计配置文件读入系统。
# init S # init 6 |