1、安装

centos：默认安装

Ubuntu：sudo apt install auditd

2、开启auditd服务

systemctl start auditd

3、查看当前auditd服务状态

systemctl status auditd

auditctl -s

4、重启auditd服务

systemctl restart auditd  或  systemctl reload auditd

5、自定义对指定文件或目录进行监视

（1）命令行语法（暂时生效，系统重启后失效）：

auditctl -h   查看auditctl命令使用规则，如下：

常用监视指令示例：

auditctl -w /etc/passwd -p rwxa

-w path : 指定要监控的路径，上面的命令指定了监控的文件路径 /etc/passwd
-p : 指定触发审计的文件/目录的访问权限
-k 给当前这条监控规则起个名字，方便搜索过滤
rwxa ： 指定的触发条件，r 读取权限，w 写入权限，x 执行权限，a 属性（attr）

（2）修改配置文件

        auditd的配置文件为/etc/audit/audit下的auditd.conf 和audit.rules，auditd.conf 主要是定义了auditd服务日志和性能等相关配置，audit.rules才是定义规则的文件，下面是一个例子，其实就是把auditctl的命令直接拿过来即可，auditctl里支持的选项都可以在这个文件里指定。

修改之后要重启auditd服务。

6、查看监视日志

ausearch -h    查看ausearch命令使用规则，如下

ausearch -f /etc/passwd     查看对此文件夹的审计日志

7、aureport  

 生成简要日志报告

8、查看定义的规则

auditctl -l

9、清空定义的规则

auditctl -D