## Installer Auditd Service

For å installere auditd-tjenesten, kjør følgende kommando:

```

sudo yum install auditd

```

Konfigurer revisjonstjeneste

Når auditd-tjenesten er installert, kan du konfigurere den ved å redigere filen `/etc/audit/auditd.conf`.

Aktiver revisjonstjeneste

For å aktivere revisjonstjenesten, sett "enabled"-parameteren til "1".

```

[global]

aktivert =1

```

Angi bane for revisjonsloggfil og maksimal størrelse

`log_file`-parameteren spesifiserer banen til revisjonsloggfilen, og `max_log_file`-parameteren spesifiserer maksimal størrelse på revisjonsloggfilen.

```

[global]

log_file =/var/log/audit/audit.log

max_log_file =50 millioner

```

Konfigurer revisjonsregler

Revisjonsregler definerer hvilke hendelser som skal logges av revisjonstjenesten. Du kan konfigurere revisjonsregler ved å legge dem til filen `/etc/audit/audit.rules`.

Følgende eksempelregel vil logge alle mislykkede påloggingsforsøk:

```

-w /var/log/faillog -p wa -k pålogginger

```

Start Auditd Service på nytt

Etter at du har gjort endringer i auditd-konfigurasjonen, må du starte auditd-tjenesten på nytt for at endringene skal tre i kraft.

```

sudo systemctl restart auditd

```

Bekreft revisjonstjeneste

For å bekrefte at auditd-tjenesten kjører, kjør følgende kommando:

```

sudo systemctl status revidert

```

Hvis revisjonstjenesten kjører, bør du se utdata som ligner på følgende:

```

● auditd.service - LSB:Start/stopp Linux-revisjonstjeneste

Lastet:lastet (/etc/rc.d/init.d/auditd)

Aktiv:aktiv (løpende) siden tor 2021-06-10 09:23:07 UTC; 2s siden

Dokumenter:man:systemd-sysv-generator(8)

Hoved-PID:16252 (revisjon)

Oppgaver:1 (grense:11347)

CGroup:/system.slice/auditd.service

├─16252 revidert

└─16258 søvn

10. juni 09:23:07 rockylinux auditd[16252]:auditd_start:initialisering av kjernerevisjonstjeneste

Jun 10 09:23:07 rockylinux auditd[16252]:auditd_configure:setter auditd filter til regler i /etc/audit/audit.rule

```