1 安装auditd

sudo apt update
sudo apt-get  install  auditd

2 修改配置

#sudo  vim  /etc/audit/auditd.conf
#日志文件位置
log_file = /var/log/audit/audit.log
#日志文件大小(Mb)
max_log_file = 8
#日志文件数量
num_logs = 5

3 启动服务

sudo  systemctl  restart  auditd
sudo  systemctl  enable  auditd

4 增加规则

sudo  vim /etc/audit/rules.d/audit.rules
-w /etc/resolv.conf -p rw -k testfile

-w 指定要监控的文件或者命令
-p 监控属性，比如读，写
-k 自定义关键字，方面查询

5 audit测试规则

#查看规则
auditctl -l
-w /etc/resolv.conf -p rw -k testfile
#修改dns文件
sudo  vim /etc/resolv.conf
nameserver 8.8.8.8

6 查看日志

#sudo ausearch -i  -k testfile
-i 日志显示更明细
-k 指定关键字查找
-c 指定命令比如vim
#sudo ausearch -i  -k testfile --start 07/10/2024 16:00 --end 07/10/2024 16:59

按照特定时间段查询