## Installera Auditd Service
För att installera auditd-tjänsten, kör följande kommando:
```
sudo yum install auditd
```
Konfigurera Auditd Service
När auditd-tjänsten är installerad kan du konfigurera den genom att redigera filen `/etc/audit/auditd.conf`.
Aktivera Auditd Service
För att aktivera tjänsten auditd, ställ in parametern "enabled" till "1".
```
[global]
aktiverad =1
```
Ställ in sökväg för granskningsloggfil och maxstorlek
Parametern `log_file` anger sökvägen till granskningsloggfilen, och parametern `max_log_file` anger den maximala storleken på granskningsloggfilen.
```
[global]
log_file =/var/log/audit/audit.log
max_log_file =50 miljoner
```
Konfigurera revisionsregler
Revisionsregler definierar vilka händelser som ska loggas av revisionstjänsten. Du kan konfigurera revisionsregler genom att lägga till dem i filen `/etc/audit/audit.rules`.
Följande exempelregel loggar alla misslyckade inloggningsförsök:
```
-w /var/log/faillog -p wa -k inloggningar
```
Starta om Auditd Service
När du har gjort ändringar i auditd-konfigurationen måste du starta om auditd-tjänsten för att ändringarna ska träda i kraft.
```
sudo systemctl starta om auditd
```
Verifiera revisionstjänst
För att verifiera att auditd-tjänsten körs, kör följande kommando:
```
sudo systemctl status granskad
```
Om auditd-tjänsten körs bör du se utdata som liknar följande:
```
● auditd.service - LSB:Starta/stoppa Linux revisionstjänst
Laddad:laddad (/etc/rc.d/init.d/auditd)
Aktiv:aktiv (kör) sedan tors 2021-06-10 09:23:07 UTC; 2s sedan
Dokument:man:systemd-sysv-generator(8)
Huvud-PID:16252 (reviderad)
Uppgifter:1 (gräns:11347)
CGroup:/system.slice/auditd.service
├─16252 granskad
└─16258 sömn
Jun 10 09:23:07 rockylinux auditd[16252]:auditd_start:initializing kernel auditing service
Jun 10 09:23:07 rockylinux auditd[16252]:auditd_configure:inställning av auditd filter till regler i /etc/audit/audit.rule
```
