要使用auditd監(jiān)控Linux進(jìn)程活動(dòng),您可以按照以下步驟操作:
sudo apt-get install auditd
/etc/audit/audit.rules
,添加以下規(guī)則以監(jiān)控進(jìn)程活動(dòng):-a always,exit -F arch=b64 -S execve
-a always,exit -F arch=b64 -S execveat
這將監(jiān)控所有進(jìn)程的執(zhí)行操作。
sudo systemctl restart auditd
ausearch
命令來(lái)查看audit日志,例如查看最近的進(jìn)程活動(dòng):sudo ausearch -m execve
通過(guò)以上步驟,您就可以使用auditd監(jiān)控Linux進(jìn)程活動(dòng)了。您也可以根據(jù)自己的需求配置其他審計(jì)規(guī)則來(lái)監(jiān)控更多的系統(tǒng)活動(dòng)。