使用auditctl命令可以对内核中的审计系统进行控制,可以用来获取audit状态和添加/删除audit规则。 语法格式:auditctl [参数] 常用参数: -s报告内核的审计子系统状态-l列出所有的规则 参考实例 查看audit运行状态: [root@linuxcool ~]# auditctl -s 查看现有的audit规则: [root@linuxcool ~]# auditctl -l 与该功能相关的Linux命令:zcat命令 – 查看压缩文件的内容diff命令 – 比较文件内容差异info命令 – 阅读info格式的文件ngrep命令 – 数据包匹配和显示工具umount命令 – 卸载文件系统chmod命令 – 改变文件或目录权限userpasswd命令 – 允许用户更改密码的图形化工具chfn命令 – 系统管理vcdtools命令 – 制作vcd影像slocate命令 – 查找文件或目录