auditd命令行参数

auditd 是 Linux 系统的审计守护进程,其命令行参数主要用于调试和配置覆盖。以下是常见参数及说明:

常用命令行参数

  1. -f
    在前台运行(不转为守护进程),便于调试。 

    1
    auditd -f

  2. -l
    将日志输出到终端(需配合 -f 使用)。 

    1
    auditd -f -l

  3. -s
    立即同步并应用配置更改(如修改 auditd.conf 后触发重载)。 

    1
    auditd -s

  4. -c <config_file>
    指定自定义配置文件路径(默认:/etc/audit/auditd.conf)。 

    1
    auditd -c /path/to/custom_auditd.conf

  5. -n
    禁止 fork 到后台(与 -f 类似,可能用于特定启动脚本)。

  6. -d--debug
    启用调试模式(输出详细信息,需配合 -f 使用)。 

    1
    auditd -f -d

  7. -h--help
    显示帮助信息。 

    1
    auditd -h

使用示例

  • 前台运行并输出调试信息

    1
    auditd -f -d -l

    用于排查配置问题或查看实时日志。

  • 指定配置文件并重载

    1
    auditd -c /etc/audit/custom.conf -s

注意事项

  1. 权限要求
    启动 auditdroot 权限,普通用户无法运行。

  2. 依赖配置文件
    大多数审计行为(如日志路径、规则)由 /etc/audit/auditd.confauditctl 控制,命令行参数仅用于覆盖部分启动行为。

  3. 服务管理
    生产环境中通常通过 systemd 管理: 

    1
    2
    3
    systemctl start auditd    # 启动
    systemctl restart auditd  # 重启
    systemctl status auditd   # 查看状态

查看手册

不同系统版本可能参数略有差异,建议通过 man auditd 查阅本地手册: 

1
man auditd