1、启动服务
systemctl enable auditd; systemctl start auditd

2、记录执行的命令
auditctl -a exit,always -F arch=b32 -S execve -k allcmds
auditctl -a exit,always -F arch=b64 -S execve -k allcmds

3、查询执行过的命令
ausearch -k allcmds

4、查询特定用户执行的命令(例如ROOT的UID是1000)
ausearch -ue 1000
或者
auditctl -a exit,always -F arch=b64 -F euid=1000 -S execve -k root-cmds
auditctl -a exit,always -F arch=b32 -F euid=1000 -S execve -k root-cmds

5、使审计策略永久生效
vi /etc/audit/rules.d/audit.rules
-a exit,always -F arch=b32 -S execve -k allcmds
-a exit,always -F arch=b64 -S execve -k allcmds

6、查看已生效审计策略
auditctl -l

7、清除所有审计策略
auditctl -D