审计规则配置_auditctl -l看不到新增的审计规则

groupadd shenjiguanli
useradd -g shenjiguanli audit

audit 配置文件简介
audit 安装后会生成 2 个配置文件: /etc/audit/auditd.conf 和/etc/audit/audit.rules 。/etc/audit/auditd.conf 是守护程序的默认配置文件。/etc/audit/audit.rules 是记录审计规则的文件。首次安装 audit 后, 审计规则文件是空的。
注意：

#查看审计规则
#auditctl -l
1
2

#添加审计规则
#auditctl -w /etc/passwd -p rwxa（注意：用 auditd 添加审计规则是临时的，立即生效，但是系统重启失效。）
#-w path : 指定要监控的路径，上面的命令指定了监控的文件路径 /etc/passwd
#-p : 指定触发审计的文件/目录的访问权限
#-k 给当前这条监控规则起个名字，方便搜索过滤
#rwxa ： 指定的触发条件，r 读取权限，w 写入权限，x 执行权限，a 属性（attr）
1
2
3
4
5
6

添加审计规则（如果您希望将此规则设为永久性）：

vi /etc/audit/rules.d/audit.rules
1

添加以下规则：
####记录用户和组的修改的事件
-w /etc/group -p wa -k identity
-w /etc/passwd -p wa -k identity
-w /etc/gshadow -p wa -k identity
-w /etc/shadow -p wa -k identity
-w /etc/security/opasswd -p wa -k identity
####记录登录和登出事件
-w /var/log/lastlog -p wa -k logins
-w /var/run/faillock/ -p wa -k logins

重启：service auditd restart
1

#查看审计规则
#auditctl -l
1
2

#查看审计日志
#ausearch -f /etc/passwd
1
2

#生成简要报告
#aureport
1
2