## Installer Auditd Service

For at installere auditd-tjenesten skal du køre følgende kommando:

```

sudo yum install auditd

```

Konfigurer Auditd Service

Når auditd-tjenesten er installeret, kan du konfigurere den ved at redigere filen `/etc/audit/auditd.conf`.

Aktiver Auditd Service

For at aktivere auditd-tjenesten skal du indstille parameteren "enabled" til "1".

```

[global]

aktiveret =1

```

Indstil sti til revisionslogfil og maks. størrelse

Parameteren `log_file` specificerer stien til revisionslogfilen, og parameteren `max_log_file` angiver den maksimale størrelse af revisionslogfilen.

```

[global]

log_file =/var/log/audit/audit.log

max_log_file =50 mio

```

Konfigurer revisionsregler

Revisionsregler definerer, hvilke hændelser der skal logges af den auditd-tjeneste. Du kan konfigurere revisionsregler ved at tilføje dem til filen `/etc/audit/audit.rules`.

Følgende eksempelregel vil logge alle mislykkede loginforsøg:

```

-w /var/log/faillog -p wa -k logins

```

Genstart Auditd Service

Når du har foretaget ændringer i auditd-konfigurationen, skal du genstarte auditd-tjenesten for at ændringerne træder i kraft.

```

sudo systemctl genstart auditd

```

Bekræft revisionstjeneste

For at kontrollere, at auditd-tjenesten kører, skal du køre følgende kommando:

```

sudo systemctl status auditd

```

Hvis auditd-tjenesten kører, bør du se output svarende til følgende:

```

● auditd.service - LSB:Start/stop Linux-revisionstjeneste

Indlæst:indlæst (/etc/rc.d/init.d/auditd)

Aktiv:aktiv (kører) siden tor 2021-06-10 09:23:07 UTC; 2s siden

Dokumenter:man:systemd-sysv-generator(8)

Hoved-PID:16252 (revideret)

Opgaver:1 (grænse:11347)

CGroup:/system.slice/auditd.service

├─16252 revideret

└─16258 søvn

10. juni 09:23:07 rockylinux auditd[16252]:auditd_start:initialisering af kernel revisionstjeneste

Jun 10 09:23:07 rockylinux auditd[16252]:auditd_configure:indstilling af auditd filter til regler i /etc/audit/audit.rule

```