Linux命令审计：全面掌控系统运行（linux命令审计）

情况

Linux 命令审计，本质上就是记录、监测和审计系统用户使用的 Linux 命令，以更彻底地了解运行在 Linux 系统上的各类应用程序所执行任务的全貌。它能够通过审计 Linux 命令，看到系统上正在运行的那些应用程序，以及哪些系统文件在不同时间被访问或操作，同时还能发现 Linux 系统上的潜在安全漏洞和攻击。

Linux 命令审计（auditing）系统能记录每一个登录用户的会话并保留会话的历史记录，例如已输入的命令和输出的结果，以及系统内核日志和活动日志等，这一切都可以用来辅助系统运维者，检测和细查系统上出现的异常情况和安全问题。

要有效地管理 Linux 系统，用户可以利用 auditctl 命令来管理和审计 Linux 系统中动态变化的系统资源，它可以让开发者采用一种像 Shell 一样的方式，管理当前的系统审计设置，比如：

# auditctl -a exit,always -F arch=b32 -S execve -k systemcall
审计『exece』系统调用，在32位架构下总是启用：

用户可以利用 “auditctl -s” 命令来查看当前审计系统设置，“ausearch”可以快速高效地查询审计日志，它能通过设置过滤条件来快速查找任何特定的活动日志，特别是对那些巨大的审计日志来说，这是很有实用价值的。

总结来说，Linux 命令审计是系统运维的必备技能，它能够翔实地记录用户的 System Call和相关的一些日志，可以实现对系统本身以及应用程序的执行过程的完整跟踪，对进一步保护系统安全有利。