使用auditctl命令可以对内核中的审计系统进行控制,可以用来获取audit状态和添加/删除audit规则。 语法格式:auditctl [参数] 常用参数: -s报告内核的审计子系统状态-l列出所有的规则 参考实例 查看audit运行状态: [root@linuxcool ~]# auditctl -s 查看现有的audit规则: [root@linuxcool ~]# auditctl -l 与该功能相关的Linux命令:basename命令 显示文件路径名的基本文件名unrar命令 – 解压提取文件find2perl命令 – 转换找到的命令行为perl代码dnsdomainname命令 – 打印DNS的域名bzmore命令 – 查看bzip2压缩过的文本文件的内容zgrep命令 – 在压缩文件中按正则表达式来搜索setconsole命令 – 设置系统终端joe命令 – 纯文本编辑器ngrep命令 – 数据包匹配和显示工具fsview命令 – 文件系统浏览器