#查看audit软件是否在运行（状态为active而且为绿色表示已经在运行）

systemctl start auditd

#如果没有在运行的话，查看是否被系统禁用 （audit为0表示被禁用）

cat /proc/cmdline | grep -w "audit=0"

#修改/etc/default/grub里面audit=0 改为audit=1

#更新GRUB，并重启

grub2-mkconfig -o /boot/grub2/grub.cfg

reboot

#重启后，再用systemct status audit 查看状态是否为active

systemctl start auditd

# 在 /etc/audit/rules.d/audit.rules 里面配置规则

 1. 监控/etc/passwd文件修改

-w /etc/passwd -p wa -k identity

2. 监控/etc/shadow文件访问

-w /etc/shadow -