Чтобы определить правила аудита, сохраняющиеся при перезагрузках, необходимо включить их в файлы *.rules в каталоге /etc/audit/rules.d/.

Скрипт augenrules считывает правила, расположенные в каталоге /etc/audit/rules.d/, и компилирует их в файл /etc/audit/audit.rules. Этот скрипт обрабатывает файлы *.rules, в определенном порядке, основанном на их естественном порядке сортировки.

Файлы *.rules должны содержать правила аудита в формате auditctl. Пустые строки и текст после знака решетки (#) игнорируются. В файл записываются правила без имени команды. Например:

-a always,exit -F arch=b64 -F path=/etc/passwd -F perm=wa -F key=passwd

Команду auditctl также можно использовать для чтения правил из указанного файла с помощью опции -R, например:

# auditctl -R /home/user/audit/rules/30-net.rules

Файл .rules может содержать только следующие правила контроля, изменяющие поведение системы аудита: -b, -D, -e, -f, -r, --loginuid-immutable и --backlog_wait_time. Например:

# Удалить все предыдущие правила
-D

# Установить размер буфера
-b 8192

# Защитить конфигурацию аудита от изменений
-e 2

Правила файловой системы и системных вызовов определяются в файлах .rules с использованием синтаксиса auditctl. Например:

-a always,exit -F arch=b64 -F path=/etc/shadow -F perm=wa -F key=shadow
-a always,exit -F arch=b64 -F path=/sbin/modprobe -F perm=x -F key=modules

-a always,exit -F arch=b64 -S openat -F auid=1000

Чтобы загрузить правила из каталога /etc/audit/rules.d/ следует запустить службу audit-rules:

# systemctl start audit-rules.service

или выполнить команду augenrules с параметром --load:

# augenrules --load

Проверить загруженные правила можно, выполнив команду:

# auditctl -l