我想在我的最新的Arch Linux使用audit framework,但在控制台中运行sudo auditctl -w /home/
给我如何在arch linux 3.12内核中启用审计框架?
Error - audit support not in kernel Cannot open netlink audit socket
我试图使课程审核通过的内核启动参数设置审计标志:GRUB_CMDLINE_LINUX_DEFAULT="quiet audit=1"
但重启后没有任何变化,仍然是一样的错误。
任何人都知道如何解决它?
你可以在启动的内核的'/ proc/cmdline'中看到''audit = 1“'吗? – 2015-02-24 15:00:08
yes,'BOOT_IMAGE =/boot/vmlinuz-linux root = UUID = 59c7ed3d-5c1a-464e-8da0-6bcf76bc19d2 rw quiet audit = 1',也有错误,我有3.18.2内核。 – sandric 2015-02-24 15:01:23
audit = [KNL]启用审计子系统 格式:{“0”| “1”}(0 =禁用,1 =启用) 0 - 内核审核已禁用且无法启用 直到下次重启 未设置 - 内核审核已初始化但已禁用,且 将由用户空间auditd完全启用。 1 - 内核审计被初始化并部分启用, 在 RAM中最多存储audit_backlog_limit消息,直到它被用户空间 auditd完全启用。 – 2015-02-24 15:01:52