在Linux系統(tǒng)中,要在執(zhí)行revoke
命令后進(jìn)行審計(jì)跟蹤,可以使用auditd
服務(wù)
auditd
服務(wù)。在大多數(shù)Linux發(fā)行版中,可以使用包管理器(如apt
、yum
或zypper
)來(lái)安裝。例如,在基于Debian的系統(tǒng)上,可以使用以下命令安裝:sudo apt-get install auditd audispd-plugins
auditd
服務(wù):sudo systemctl start auditd
sudo systemctl enable auditd
revoke
命令的執(zhí)行。編輯/etc/audit/rules.d/audit.rules
文件,添加以下內(nèi)容:-a exit,always -F arch=b64 -S revoke -k revoke_cmd
-a exit,always -F arch=b32 -S revoke -k revoke_cmd
這里,-a exit,always
表示在每次系統(tǒng)調(diào)用結(jié)束時(shí)都會(huì)記錄事件;-F arch=b64
和-F arch=b32
分別表示針對(duì)64位和32位架構(gòu)的系統(tǒng)調(diào)用;-S revoke
表示監(jiān)控revoke
系統(tǒng)調(diào)用;-k revoke_cmd
是自定義的關(guān)鍵字,用于在審計(jì)日志中過(guò)濾相關(guān)事件。
auditd
服務(wù)以應(yīng)用更改:sudo systemctl restart auditd
revoke
命令時(shí),審計(jì)日志將記錄相關(guān)信息。你可以通過(guò)以下命令查看審計(jì)日志:sudo ausearch -k revoke_cmd
這將顯示與revoke_cmd
關(guān)鍵字相關(guān)的所有審計(jì)事件。你可以根據(jù)需要對(duì)輸出進(jìn)行過(guò)濾和格式化。
請(qǐng)注意,這些步驟可能因不同的Linux發(fā)行版而有所不同。請(qǐng)參考你所使用的發(fā)行版的文檔以獲取更詳細(xì)的說(shuō)明。