Чтобы определить правила аудита, сохраняющиеся при перезагрузках, необходимо либо напрямую включить их в файл /etc/audit/audit.rules, либо использовать программу augenrules, которая считывает правила, расположенные в каталоге /etc/audit/rules.d/.

Скрипт augenrules считывает правила, расположенные в каталоге /etc/audit/rules.d/, и компилирует их в файл /etc/audit/audit.rules. Этот скрипт обрабатывает файлы *.rules, в определенном порядке, основанном на их естественном порядке сортировки.

Во время старта служба auditd читает файл /etc/audit/audit.rules, который содержит правила аудита в формате auditctl. Пустые строки и текст после знака решетки (#) игнорируются. В файл записываются правила без имени команды. Например:

-w /etc/passwd -p wa

Команду auditctl также можно использовать для чтения правил из указанного файла с помощью опции -R, например:

# auditctl -R /home/user/audit/rules/30-net.rules

Файл /etc/audit/audit.rules может содержать только следующие правила контроля, изменяющие поведение системы аудита: -b, -D, -e, -f, -r, --loginuid-immutable и --backlog_wait_time. Например:

# Удалить все предыдущие правила
-D

# Установить размер буфера
-b 8192

# Защитить конфигурацию аудита от изменений
-e 2

Правила файловой системы и системных вызовов определяются в файле /etc/audit/audit.rules с использованием синтаксиса auditctl. Например:

-w /etc/shadow -p wa
-w /sbin/modprobe -p x -k modules

-a always,exit -S openat -F auid=510

Чтобы загрузить правила из каталога /etc/audit/rules.d/ следует запустить команду augenrules с параметром --load:

# augenrules --load

Эти правила также будут загружены при запуске службы auditd.