auditd.conf的详细参数说明

```

# 本地的事件是否记录，设置为no的场景应该是只作为远程日志收集的服务器，但自身的日志大多数时候也是有必要记录的

local_events = yes

# 日志是否落盘，设置为no的场景应该是将会把日志存储到远程服务器的客户端(没有足够空间的情况下)

write_logs = yes

# 日志记录的文件

log_file = /var/log/audit/audit.log

# 日志文件默认所属的组

log_group = adm

# 日志的格式，一般设置为RAW即可

log_format = RAW

# 设置日志写到日志的同步方式，这里设置为异步增量式

flush = INCREMENTAL_ASYNC

# 当flush设为为了INCREMENTAL_ASYNC或INCREMENTAL才有效，意思是当有50条记录时才同步到日志文件

freq = 50

# 设置日志文件的大小，单位为M

max_log_file = 10

# 设置日志文件的最多数量

num_logs = 99

# 优先级的设置，默认为4即可

priority_boost = 4

# 这是audit daemon和dispatcher之间的缓冲区的通信是阻塞/无损或非阻塞/有损的选项，当缓冲区满时，有损的话就会丢失一些日志(远程服务器)，并不影响本地，当选择了无损的方式，将一直等待网络IO的空出，日志也不会记录到硬盘上，故还是lossy方式比较好一些

disp_qos = lossy

# 指定dispatcher的路径

dispatcher = /sbin/audispd

# 设置多节点时的note的名称，这里USER是表示由用户指定

name_format = USER

# 当name_format设置为USER后，此参数才会有效，这里会在日志中的node名为logserver

name = logserver

# 当max_log_file设置的大小达到后，deamon程序将执行的动作，这里为循环式地记录

max_log_file_action = ROTATE

# 设置space_left_action对应的剩余硬盘空间，单位为M

space_left = 75

# 设置当剩余硬盘空间达到设置值时的动作，这里设置为SYSLOG

space_left_action = SYSLOG

# 检测action_mail_acct的域名是否有效

verify_email = yes

# 当space_left_action、admin_space_left_action设置为email时的邮箱地址

action_mail_acct = root

# admin_space_left_action执行动作的触发剩余空间大小，单位为M，必须比space_left小

admin_space_left = 50

# 当admin_space_left设置的剩余空间达到时要执行的动作

admin_space_left_action = SUSPEND

# 硬盘空间满时如何执行的设置

disk_full_action = SUSPEND

# 硬盘错误时如何执行的设置

disk_error_action = SUSPEND

# 是否使用tcp_wrappers进行服务接入的限制

use_libwrap = yes

# 开启远程日志服务器端口，以提供远程日志服务

tcp_listen_port = 60

# 设置允许多少等待的连接数

tcp_listen_queue = 40

# 设置允许一个IP同时最多多少个连接，设置过大会有DOS攻击的风险

tcp_max_per_addr = 2

# 设置只允许客户端的连接端口，能有效防止注入攻击

tcp_client_ports = 3333

# 设置断开连接的空间时间，不推荐设置

tcp_client_max_idle = 0

# 设置是否使用Kerberos5验证和加密

enable_krb5 = no

# 设置用于Kerberos5申请tickit的主要标识

krb5_principal = auditd

##krb5_key_file = /etc/audit/audit.key

# 分布式网络设置

distribute_network = no

```