auditctl命令 – 控制内核的审计系统

使用auditctl命令可以对内核中的审计系统进行控制，可以用来获取audit状态和添加/删除audit规则。

语法格式：auditctl [参数]

常用参数：

-s	报告内核的审计子系统状态
-l	列出所有的规则

参考实例

查看audit运行状态：

[root@uziwp ~]# auditctl -s

查看现有的audit规则：

[root@uziwp ~]# auditctl -l