# Практическая работа 1.2 Установка: ![](https://i.imgur.com/fyH85ID.png) Проверка, что сервис запущен: ![](https://i.imgur.com/vOOHiVD.png) Проверяем цепочки правил: ![](https://i.imgur.com/k6yR7iM.png) Создаем файл ![](https://i.imgur.com/SPqDyi7.png) Создаем правило аудита ![](https://i.imgur.com/S43SRXD.png) Вносим изменения ![](https://i.imgur.com/N7FYix6.png) Смотрим работу программы: ![](https://i.imgur.com/wADoQoP.png) Видим, что UID пользователя, который вносил изменения, равен 1000. Смотрим в /etc/passwd, у какого пользователя у нас 1000-ый UID: ![](https://i.imgur.com/yQOXuNB.png) Сгенерируем отчет: ![](https://i.imgur.com/cVtMxzr.png) Создадим правила для auditd и пропишем их в файл ***/etc/audit/audit.d/audit.rules***, поскольку при прописывании их в ***/etc/audit/audit.rules*** мы получим, что наши правила слетают при перезагрузке сервиса: ![](https://i.imgur.com/jzQPe61.png) Сгенерируем отчет и увидим, какие службы открывают/меняют файлы, внесенные в аудит(***aureport -f***) : ![](https://i.imgur.com/LPOOjdA.png) Смотрим отчет по отдельному файлу командой ***ausearch -f*** *'путь/к/файлу'* ![](https://i.imgur.com/w976VmA.png) :::info В auditd собранные логи храняться в ***/etc/log/audit/audit.log***. Поэтому - если накосячили с правилами - удаляем/очищаем этот файл и перезапускаем auditd :::