auditd 審計工具 ，常用來對檔案修改進行監聽，如 監聽那個程序修改了 .ssh/authorized_keys

這個工具在大多數Linux作業系統中是預設安裝的。CentOS 預設安裝。Ubuntu 安裝：apt-get install auditd。

安裝完畢後將自動安裝以下auditd和相關的工具：

auditctl : 即時控制審計守護程序的行為的工具，比如新增規則等等。
/etc/audit/audit.rules : 記錄審計規則的檔案。
aureport : 檢視和生成審計報告的工具。
ausearch : 查詢審計事件的工具
auditspd : 轉發事件通知給其他應用程式，而不是寫入到審計日誌檔案中。
autrace : 一個用於跟蹤程序的命令。
/etc/audit/auditd.conf : auditd工具的配置檔案。

例項：

#檢視審計規則
#auditctl -l

#新增審計規則
#-w path : 指定要監控的路徑，上面的命令指定了監控的檔案路徑 /etc/passwd
#-p : 指定觸發審計的檔案/目錄的訪問許可權
#-k 給當前這條監控規則起個名字，方便搜尋過濾
#rwxa ： 指定的觸發條件，r 讀取許可權，w 寫入許可權，x 執行許可權，a 屬性（attr）
#auditctl -w /etc/passwd -p rwxa

#檢視審計日誌
#ausearch -f /etc/passwd

#生成簡要報告
#aureport

• 1
• 2
• 3
• 4
• 5
• 6
• 7
• 8
• 9
• 10
• 11
• 12
• 13
• 14

日誌檔案目錄：
/var/log/audit/audit.log

注意：用 auditd 新增審計規則是臨時的，立即生效，但是系統重啟失效。重啟仍然有效，需要在 /etc/audit/audit.rules 檔案中新增規則，然後重啟服務：
service auditd restart 或者 service auditd reload