Ubuntu18.04离线安装audit

查看ubuntu系统版本

lsb_release -a

安装版本

下载地址
https://launchpad.net/ubuntu/bionic/arm64/libauparse0/1:2.8.2-1ubuntu1.1
https://launchpad.net/ubuntu/bionic/arm64/auditd/1:2.8.2-1ubuntu1

sudo dpkg -i libauparse0_2.8.2-1ubuntu1.1_arm64.deb
sudo dpkg -i auditd_2.8.2-1ubuntu1_arm64.deb

如果安装时发现仍然缺少lib 则可在以上下载地址中查找。

启动

systemctl enable auditd.service;
systemctl restart auditd.service

增加规则

auditctl -a exit,always -F arch=b64 -S kill -F a1=9

查看是谁杀的程序

sudo ausearch -sc kill