linux的审计日志怎样开启

要开启Linux的审计日志，您可以依照以下步骤进行操作：

1. 安装审计工具：首先，确保您的Linux系统已安装了auditd（审计守护进程）软件包。如果没有安装，可使用合适您的Linux发行版的包管理器来安装它。例如，在Ubuntu上可使用以下命令：sudo apt-get install auditd。

2. 启用审计服务：在大多数Linux发行版中，审计服务默许已启用。您可使用以下命令来检查审计服务的状态：systemctl status auditd。如果服务没有运行，可使用以下命令启动它：sudo systemctl start auditd。

3. 配置审计规则：审计规则用于定义需要记录的系统活动。您可以通过编辑审计规则文件来配置这些规则。在大多数Linux发行版中，审计规则文件位于/etc/audit/audit.rules。您可使用文本编辑器（如vi或nano）打开该文件进行编辑。

• 如果您只想记录特定目录或文件的访问，可使用以下规则示例将其添加到文件中：-w /path/to/directory -p wa。其中，/path/to/directory是您要监控的目录的路径。

• 如果您想记录用户或进程的活动，可使用以下规则示例：-a entry,always -S execve -F uid=0。此规则将记录所有以root用户身份运行的进程的履行情况。

• 您可以根据需要添加其他审计规则。添加完规则后，保存并关闭文件。

4. 重新加载审计规则：使用以下命令重新加载审计规则，使其生效：sudo systemctl reload auditd。

现在，您已成功开启Linux的审计日志功能。系统将开始记录您在审计规则中定义的活动。您可使用以下命令查看审计日志：sudo ausearch -f /path/to/directory，其中/path/to/directory是您想查看的目录路径。