什么是audit？linux audit子系统是一个用于收集记录系统、内核、用户进程发生的行为事件的一种安全审计系统。该系统可以可靠地收集有关上任何与安全相关（或与安全无关）事件的信息，它可以帮助跟踪在系统上执行过的一些操作。 使用安装好像高版本 os 都自带了，没有就 yum install -y audit 1systemctl status auditd.service 例如追踪一个内核参数被谁修改要注意的是 auditctl 只能临时生效，要想永久生效使用文件 audit.rules 基本信息查看12345678910111213# 查看状态$ auditctl -senabl...