1、安裝

一般centos會默認安裝，可直接使用，沒安裝可以yum安裝一下

yum install audit

2、啟動方式：

systemctl start auditd

或

service auditd.service start

如果啟動失敗了，audit看一下狀態(tài)

systemctl status auditd

可能是沒裝audit，可以查一下

yum list installed |grep audit

或

rpm -qa |grep audit

如果您在 CentOS 7 上啟動 auditd 服務(wù)時遇到 "Failed to start auditdtd.service: Unit not found." 錯誤，可能是因為 auditd 服務(wù)的 systemd 單元文件不存在或已損壞。您可以按照以下步驟嘗試解決這個問題：

檢查 auditd 服務(wù)的 systemd 單元文件是否存在：

運行以下命令來檢查 auditd 服務(wù)的 systemd 單元文件是否存在：
ls /usr/lib/systemd/system/auditd.service
如果該文件不存在，則可能需要重新安裝 auditd 服務(wù)：
sudo yum reinstall audit
重新加載 systemd 單元文件：

運行以下命令來重新加載 systemd 單元文件：
sudo systemctl daemon-reload
啟動 auditd 服務(wù)：

運行以下命令來啟動 auditd 服務(wù)：
sudo systemctl start auditd.service
如果上述步驟無法解決問題，則可能需要進一步檢查您的系統(tǒng)配置和日志文件，以確定問題的根本原因。

3、添加監(jiān)控規(guī)則，監(jiān)控目錄或文件

auditctl -w <絕對路徑> -p rwxa

auditctl -l #查看當前規(guī)則

或者

要使用audit監(jiān)控目錄并查看CentOS上的文件操作記錄，您可以按照以下步驟進行操作：

安裝auditd服務(wù)：在CentOS上，您可以使用以下命令安裝auditd服務(wù)：

sudo yum install audit
配置audit規(guī)則：您需要配置audit規(guī)則以監(jiān)控您想要審計的目錄。例如，如果您想要監(jiān)控/var/log目錄，可以使用以下命令：

sudo auditctl -w /var/log -p war -k log_audit
這將監(jiān)控/var/log目錄中的所有文件操作，并將它們標記為log_audit關(guān)鍵字。

啟動auditd服務(wù)：使用以下命令啟動auditd服務(wù)：

sudo systemctl start auditd
查看audit日志：您可以使用以下命令查看audit日志：

sudo ausearch -k log_audit
這將顯示與log_audit關(guān)鍵字相關(guān)的所有audit日志條目，包括文件操作記錄。

通過這些步驟，您可以使用audit監(jiān)控目錄并查看CentOS上的文件操作記錄。請注意，audit日志可能會很大，因此您可能需要使用其他工具來過濾和分析日志數(shù)據(jù)。

4、查看監(jiān)控日志

可以到/var/log/audit/下查看

grep -rn “filename”

（其中，audit.log：當前正在寫入的審計日志文件。

audit.log.1：上一個審計日志文件。

audit.log.2：上上個審計日志文件。

audit.log.3：上上上個審計日志文件。

audit.log.4：上上上上個審計日志文件。

）

或者

要使用audit查看文件的操作記錄，您需要先啟用Linux系統(tǒng)的審計功能。在大多數(shù)Linux發(fā)行版中，審計功能默認是關(guān)閉的，您需要手動啟用它。

啟用審計功能后，您可以使用以下命令來查看文件的操作記錄：

sudo ausearch -f /path/to/file
其中，/path/to/file是您要查看操作記錄的文件路徑。該命令將顯示與該文件相關(guān)的所有審計事件，包括文件的創(chuàng)建、修改、刪除等操作。

如果您只想查看特定類型的操作記錄，可以使用以下命令：

sudo ausearch -f /path/to/file -m <event_type>
其中，<event_type>是您要查看的事件類型，例如chmod、chown、create、delete等。

請注意，要使用audit查看文件的操作記錄，您需要具有root權(quán)限或者是具有sudo權(quán)限的用戶。

5、刪除監(jiān)控規(guī)則

要刪除已經(jīng)加入監(jiān)控的目錄，您可以使用以下幾種方法：

使用 auditctl 命令刪除監(jiān)控規(guī)則

您可以使用 auditctl 命令刪除已經(jīng)加入監(jiān)控的目錄。首先，使用 auditctl -l 命令列出當前已經(jīng)監(jiān)控的目錄和文件。然后，使用 auditctl -d 命令刪除要刪除的目錄的監(jiān)控規(guī)則。例如，要刪除監(jiān)控 /var/log 目錄的規(guī)則，可以使用以下命令：

sudo auditctl -d -w /var/log -p rwxa
編輯 Audit 配置文件

您可以編輯 Audit 配置文件 /etc/audit/audit.rules，并刪除要刪除的目錄的監(jiān)控規(guī)則。找到要刪除的規(guī)則，并將其從文件中刪除。然后，重新加載 Audit 配置文件，使更改生效。例如，要刪除監(jiān)控 /var/log 目錄的規(guī)則，可以使用以下命令：

sudo sed -i '/-w \/var\/log -p rwxa/d' /etc/audit/audit.rules
sudo systemctl restart auditd.service
使用 Audit 規(guī)則管理工具

您可以使用 Audit 規(guī)則管理工具，如 auditdmin 或 auditd-manager，來管理 Audit 規(guī)則。這些工具提供了一個圖形界面，可以方便地添加、編輯和刪除監(jiān)控規(guī)則。例如，使用 auditd-manager 工具，可以打開 auditd-manager 界面，選擇要刪除的規(guī)則，并單擊 "刪除" 按鈕。

請注意，刪除監(jiān)控規(guī)則可能會影響系統(tǒng)的安全性和審計功能。如果您不確定要刪除哪些規(guī)則，請謹慎操作。

6、停用audit服務(wù)

因為audit會產(chǎn)生大量日志，運行久了沒清可能會很占內(nèi)存，一直運行可能也會影響性能

systemctl stop auditd

或

service auditd.service stop

禁用audit服務(wù)

sudo systemctl disable auditd.service
這樣就可以停止并禁用Audit服務(wù)了。請注意，禁用Audit服務(wù)可能會影響系統(tǒng)的安全性和審計功能。如果您需要重新啟用Audit服務(wù)，請使用以下命令：

sudo systemctl enable auditd.service
sudo systemctl start auditd.service

（有些是手寫的 ，有些直接復(fù)制chatgtp的）