使用auditctl命令可以对内核中的审计系统进行控制,可以用来获取audit状态和添加/删除audit规则。 语法格式:auditctl [参数] 常用参数: -s报告内核的审计子系统状态-l列出所有的规则 参考实例 查看audit运行状态: [root@linuxcool ~]# auditctl -s 查看现有的audit规则: [root@linuxcool ~]# auditctl -l 与该功能相关的Linux命令:inotifywatch命令 – 收集关于被监视的文件系统的统计数据xlsfonts命令 – 显示X服务器字体列表less命令 – 分页显示文件内容extundelete命令 – 文件恢复工具xclip命令 – 跨窗口复制文字get_module命令 – 获取模块信息bsdtar命令 – 读取和写入磁带存档文件fgrep命令 – 为文件搜索文字字符串mshowfat 命令 – 显示在FAT中的记录cmp命令 – 比较两个文件是否有差异