auditd 使用

auditd 是一种用于监控和记录系统活动的工具，包括命令执行、文件访问等。

1. auditd：

   sudo apt install auditd audispd-plugins
   

2. 启动 auditd 服务：

   sudo systemctl start auditd
   sudo systemctl enable auditd
   

3. 配置审计规则：

   sudoedit /etc/audit/audit.rules
   

   记录所有用户执行的命令：

   -a always,exit -F arch=b64 -S execve -k exec
   -a always,exit -F arch=b32 -S execve -k exec
   

   这些规则会记录所有通过 execve 系统调用执行的命令。

4. 重新加载审计规则：

   sudo auditctl -R /etc/audit/audit.rules
   

5. 查看审计日志：

   sudo ausearch -k exec
   

   这个命令会显示所有与exec关键字相关的审计记录。

请注意，审计日志可能会迅速增长，因此需要定期检查和管理日志文件。此外，配置审计规则时要谨慎，以免过多记录影响系统性能。