auditctl 是 Linux 审计子系统(Linux Audit)的命令行工具,用来查看、添加、删除或管理审计规则与审计状态,从而记录系统调用、文件访问、权限变更等安全相关事件(通常与 auditd 守护进程配合使用)。
I used auditctl to add a rule that logs every access to /etc/passwd.
我使用 auditctl 添加了一条规则,用来记录每次对 /etc/passwd 的访问。
After the incident, the administrator tightened monitoring by configuring auditctl rules for privileged syscalls and then reviewed the logs to trace the timeline.
事件发生后,管理员通过配置 auditctl 规则来加强对特权系统调用的监控,并查看日志以追踪时间线。
/dtsitil/
auditctl 由 audit(审计)+ ctl(control 的常见缩写,表示“控制/管理”)组成,字面意思是“用于控制审计(功能)的工具”。它是 Linux 审计框架工具链中的核心命令之一。
auditctl 规则配置的安全加固文档)
Select Language