一、auditd工具简介  audited是Linux审核系统的用户空间组件。它负责将审核记录写入磁盘。查看日志是通过ausearch或aureport实用程序完成的。审核系统或加载规则的配置是使用auditctl实用程序完成的。在启动过程中，/etc/audit/audit.rules中的规则由auditctl读取并加载到内核中。另外，还有一个augenrules程序，它读取/etc/audit/rules.d/中的规则，并将它们编译为audit.rules文件。审核守护进程本身有一些管理员可能希望自定义的配置选项，它们位于audited.conf文件中。二、auditd配置文件说明1、配置

我遇到了一个问题，auditd似乎将同一消息记录了两次，例如，请参见以下内容:type=EXECVEmsg=audit(1495742109.857:90234552):argc=1a0="/bin/bash"type=EXECVEmsg=audit(1495742109.857:90234552):argc=1a0="/bin/bash"这里是相关的配置:log_file=/var/log/audit/audit.loglog_format=RAWlog_group=rootpriority_boost=4flush=incrementalfreq=20num_logs=3disp_

关闭。这个问题不符合StackOverflowguidelines.它目前不接受答案。这个问题似乎与helpcenter中定义的范围内的编程无关。.关闭8年前。Improvethisquestion我正在尝试使用auditd来监控对目录的更改。问题是，当我设置一个规则时，它会监控我指定的目录，但也会监控所有子目录和文件，由于无休止的冗长而使监控器无用。这是我设置的规则:auditctl-w/home/raven/public_html-pwar-kraven-pubhtmlwatch当我搜索日志时使用ausearch-kraven-pubhtmlwatch我得到了数千行日志，其中列出了