auditctl命令 – 控制内核的审计系统
使用auditctl命令可以对内核中的审计系统进行控制,可以用来获取audit状态和添加/删除audit规则。
**语法格式:** auditctl [参数]
**常用参数:**
| -s | 报告内核的审计子系统状态 |
| ---- | -------------------------- |
| -l | 列出所有的规则 |
**参考实例**
查看audit运行状态:
```
[root@anycode ~]# auditctl -s
```
查看现有的audit规则:
```
[root@anycode ~]# auditctl -l
```
