定義reboot系統后，仍然生效的審計規則，有兩種辦法：

1、直接寫入/etc/audit/audit.rules文件中，在service文件中需要加入ExecStartPost=-/sbin/auditctl -R /etc/audit/audit.rules

2、將規則文件放入到/etc/audit/rules.d/目錄下，在service文件中加入ExecStartPost=-/sbin/augenrules --load

以上兩種方法都有對應的命令：

1、auditctl -R path-to-rules，如

auditctl -R /etc/audit/rules.d/30-pci-dss.rules

2、augenrules --load

使用這個命令可以將/etc/audit/rules.d目錄下的規則，按照順序編輯到audit.rules中。

在/usr/share/doc/audit/rules/路徑下，audit包提供了已經配置好的規則文件，用于各種認證，如PCI DSS，STIG等。如下：

linux-xdYUnA:/usr/share/doc/audit-2.7.6/rules # ll total 96 -rw-r--r-- 1 root root 163 Mar 29 17:19 10-base-config.rules -rw-r--r-- 1 root root 284 Apr 19 2017 10-no-audit.rules -rw-r--r-- 1 root root 93 Apr 19 2017 11-loginuid.rules -rw-r--r-- 1 root root 329 Apr 19 2017 12-cont-fail.rules -rw-r--r-- 1 root root 323 Apr 19 2017 12-ignore-error.rules -rw-r--r-- 1 root root 516 Apr 19 2017 20-dont-audit.rules -rw-r--r-- 1 root root 273 Apr 19 2017 21-no32bit.rules -rw-r--r-- 1 root root 252 Apr 19 2017 22-ignore-chrony.rules -rw-r--r-- 1 root root 4915 Apr 19 2017 30-nispom.rules -rw-r--r-- 1 root root 5952 Apr 19 2017 30-pci-dss-v31.rules -rw-r--r-- 1 root root 6663 Apr 19 2017 30-stig.rules -rw-r--r-- 1 root root 1498 Apr 19 2017 31-privileged.rules -rw-r--r-- 1 root root 218 Apr 19 2017 32-power-abuse.rules -rw-r--r-- 1 root root 156 Apr 19 2017 40-local.rules -rw-r--r-- 1 root root 439 Apr 19 2017 41-containers.rules -rw-r--r-- 1 root root 672 Apr 19 2017 42-injection.rules -rw-r--r-- 1 root root 424 Apr 19 2017 43-module-load.rules -rw-r--r-- 1 root root 326 Apr 19 2017 70-einval.rules -rw-r--r-- 1 root root 151 Apr 19 2017 71-networking.rules -rw-r--r-- 1 root root 86 Apr 19 2017 99-finalize.rules -rw-r--r-- 1 root root 1202 Apr 19 2017 README-rules

注意，每個rules有一個數字，這些表示的是加載順序。如果需要pci-dss認證的規則，可以將10-base-config，30-pci-dss-v31，以及99-finalize拷貝到rules.d目錄下。然后再使用augenrules --load命令把這些規則加載進來。

這些規則分類如下：

10 - Kernel and auditctl configuration 20 - Rules that could match general rules but you want a different match 30 - Main rules 40 - Optional rules 50 - Server-specific rules 70 - System local rules 90 - Finalize (immutable)

?

使用auditctl -R可以加載多個規則文件，不會覆蓋，使用augenrules --load后，之前的規則就沒有了。

?

轉載于:https://www.cnblogs.com/xingmuxin/p/8795960.html

總結

以上是生活随笔為你收集整理的linux audit审计（6）--audit永久生效的规则配置的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。