不说废话,直接上图!
修改system-auth文件
[root@gorhce.com Desktop]# vim /etc/pam.d/system-auth
2.修改password-auth文件
[root@Gorhce.com Desktop]# vim /etc/pam.d/password-auth
3.重启auditd服务
[root@Gorhce.com Desktop]# service auditd restart
Stopping auditd: [FAILED]
Starting auditd: [ OK ]
4.测试
(1)在server1上监控日志文件
[root@Gorhce.com Desktop]# watch -n1 aureport --tty
(2)远程登录server1,执行下列命令
[root@Gorhce.com Desktop]# echo "www.gorhce.com" >/gorhce.com.txt
(3)查看监控日志出现的信息