上篇已经介绍了linux审计audit一般用法，下面我们以CentOS6.5为例，

介绍其用法：

1.audit审计功能在Linux中的服务名为auditd,可以使用下面的方法确认auditd服务是否已经安装：

1)yum list audit audit-libs,确认以下两个package是否安装

audit.x86_64

audit-libs.x86_64

2)或着我们可以查看auditd服务是否开启

service auditd status

如果没有安装，使用下面的命令进行安装

yum install audit audit-libs

2.audit服务的配置文件在/etc/audit/auditd.conf中，内容和介绍如下：

log_file = /var/log/audit/audit.log

###定义了audit日志文件的存放路径

log_format = RAW

###定义了log日志的储存方式，可选值有RAW和NOLOG，设置成RAW表示日志中存储的内容就是kernel产生的内容，如果设置成NOLOG，所有日志均不会写入磁盘

freq = 20

###freq这个值表示audit进程每隔20条会将记录下来的日志flush到日志文件中。这个值仅当flush属性设置为incremental时有效

num_logs = 5

###log file的文件数量

disp_qos = lossy

###disp_qos定义了dispatcher的缓冲区（128KB）满了的时候的处理方式，可选值：lossy/lossless，当选择lossy时，如果缓冲区已满，事件会被丢弃。如果选择lossless，则audit进程会等待缓冲队列中有空间时再写入事件

space_left = 75

###定义额磁盘空间“快要”不足的阈值，单位MB

space_left_action = SYSLOG

###space_left_action定义了当系统检测到磁盘空间“快要”不足的时候的处理方式，可选值：ignore/syslog/suspend/single/halt，ignore表示audit进程不做任何处理，syslog表示会向syslog中写入一条warning，suspend表示audit进程会停止向磁盘继续写入日志（进程会继续运行），single表示audit进程会将系统模式变为单用户模式，halt表示audit进程将会触发系统关机

注意：当修改配置文件后，需要重启auditd服务来应用修改后的配置。