1 audit增加rm 规则

#sudo  vim  /etc/audit/rules.d/audit.rules
-w /bin/rm  -p x -k delfile
#重新启动服务
sudo  systemctl  restart  auditd
#查看规则
sudo auditctl -l
-w /bin/rm -p x -k delfile

2 测试规则

touch  test.txt
rm test.tx

3 查看日志

sudo ausearch -i -c rm  -k delfile

 

可以看到，auditd记录在什么时间,用什么命令删除文件，以及文件所在目录。