| ## Installeer de gecontroleerde service
Om de auditd-service te installeren, voert u de volgende opdracht uit:
```
sudo yum install auditd
```
Configureer de gecontroleerde service
Zodra de auditd-service is geïnstalleerd, kunt u deze configureren door het bestand `/etc/audit/auditd.conf` te bewerken.
Gecontroleerde service inschakelen
Om de auditd-service in te schakelen, stelt u de parameter `enabled` in op `1`.
```
[globaal]
ingeschakeld =1
```
Stel het auditlogbestandspad en de maximale grootte in
De parameter `log_file` specificeert het pad naar het auditlogbestand, en de parameter `max_log_file` specificeert de maximale grootte van het auditlogbestand.
```
[globaal]
log_file =/var/log/audit/audit.log
max_log_bestand =50M
```
Configureer auditregels
Auditregels bepalen welke gebeurtenissen door de auditd-service moeten worden geregistreerd. U kunt auditregels configureren door ze toe te voegen aan het bestand `/etc/audit/audit.rules`.
De volgende voorbeeldregel registreert alle mislukte inlogpogingen:
```
-w /var/log/faillog -p wa -k aanmeldingen
```
Start de gecontroleerde service opnieuw
Nadat u wijzigingen in de auditd-configuratie hebt aangebracht, moet u de auditd-service opnieuw starten om de wijzigingen door te voeren.
```
sudo systemctl herstart auditd
```
Gecontroleerde service verifiëren
Om te controleren of de auditd-service actief is, voert u de volgende opdracht uit:
```
sudo systemctl status auditd
```
Als de auditd-service actief is, zou u een uitvoer moeten zien die er ongeveer als volgt uitziet:
```
● auditd.service - LSB:Linux-auditservice starten/stoppen
Geladen:geladen (/etc/rc.d/init.d/auditd)
Actief:actief (actief) sinds do 2021-06-10 09:23:07 UTC; 2s geleden
Documenten:man:systemd-sysv-generator(8)
Hoofd-PID:16252 (gecontroleerd)
Taken:1 (limiet:11347)
CGroup:/system.slice/auditd.service
├─16252 gecontroleerd
└─16258 slaap
10 juni 09:23:07 rockylinux auditd[16252]:auditd_start:kernel-auditservice initialiseren
10 juni 09:23:07 rockylinux auditd[16252]:auditd_configure:auditd-filter instellen op regels in /etc/audit/audit.rule
``` |
