Paket:
auditauditauditdauditd-w /etc/passwd -p wa
systemctl kill --signal=SIGHUP auditd.service
oder
service auditd restart
touch /etc/passwd tail /var/log/audit/audit.log ausearch -i -f /etc/passwd
useradd -m klaus tail /var/log/audit/audit.log ausearch -i -f /etc/passwd
/etc/audit/audit.rules :
-e 2
Änderungen an /etc/audit/audit.rules werden jetzt erst nach reboot aktiv.
auditctl aureport