LAus可以用来监控文件访问和操作系统的一些情况。从红帽企业版Linux3 U2开始发布LAus,但运行的不是很稳定，从U3开始，LAus可以稳定的运行并添加了一些新的功能。如果您想使用LAus，建议您使用红帽企业版Linux3 U3以上版本。

在您的系统上，需要安装以下软件包：

    * laus
    * laus-libs
    * eal3-certification-doc
    * eal3-certification

LAuS的配置文件在/etc/audit目录，您可以参考man手册来修改您的配置文件。另外一个比较好的参考文档是EAL3安全认证的设置指南，因为它是使用LAus来执行审计。您可以在以下目录找到这份设置指南：

/usr/share/doc/eal3-certification-doc-0.7/

安 装完需要的软件包，编辑好配置文件，然后执行命令service audit start启动LAuS服务。要让LAuS服务在每次系统启动的时候自动运行，执行命令chkconfig audit on。 audit服务启动以后，LAuS会立即开始审计特定的一些进程，例如在cron里面定期执行的程序。

如果想用LAuS监控用户的进程，例如logins,和文件访问。logins应该被设置成运行在审计环境下。对于文本模式和GUI模式logins，请分别修改/etc/pam.d/login和/etc/pam.d/gdm，添加一行:

session    optional     pam_laus.so

在 这两个文件的session章节的最后。 修改完成以后，建议您重新启动系统。 上述修改完成以后，LAuS将会根据/etc/audit/filter.conf文件里面的配置来记录每个用户需要被监控的内容。 提示: 如果在修改LAuS配置以前已经有用户登录了系统，而且在修改配置以后，您没有重启系统。如果想对这些用户开始审计，需要这些用户先退出系统，然后再登 录。

如果需要对通过SSH登录系统的用户也做审计，需要修改/etc/pam.d/sshd，添加一行:

account     required     pam_laus.so detach

提示： 修改/etc/pam.d/sshd以后，必须重启sshd服务。在修改sshd配置文件以前登录到系统的用户，必须再重新登录系统。

在LAuS记录系统活动的时候，可以运行命令aucat打印日志信息。如果想进一步控制输出的信息，可以使用augrep命令。如何使用aucat和augrep命令，请参考man手册。

非常重要的提示：LAuS记录的日志文件是永远不会自动删除的。所以，系统管理员必须监控/var/log/audit.d目录，在磁盘空间快满的时候，删除或者打包save.*文件。请参考红帽知识库ID为4499的文章来处理这个问题。

在/var/log/audit.d目录下的文件是由Linux审计子系统(Linux Audit
Subsystem，简称LAuS)产生的。为了安全目的，LAuS在启动以后，默认配置是会记
录一些特定的系统活动。如果不需要进行安全审计，可以通过以下命令关机LAuS服务:

    service audit stop
    chkconfig audit off

停止LAuS服务以后，在/var/log/audit.d目录下面的任何save.*文件都可以删除。
我们推荐您原封不动的保留bin.*文件, 以备将来使用。LAuS功能在红帽企业版
Linux3以上版本默认没有打开。

因为LAuS被用来作安全审计，所以它的日志文件是不会自动删除，会一直保留。如
果您的系统负载比较重，并且在执行LAuS监控系统， LAuS的日志文件会增长的很
快，有可能会占满/var的空间导致系统崩溃。有几种方式可以用来阻止以上事件发
上。最简单的方法是定时监控 /var/log/audit.d目录的大小，删除过时的save.*
文件。另一种技术是不要把归档的审计日志保存为save.*文件。修改
/etc/audit/audit.conf里面的notify行，用/bin/true代替原先的/usr/sbin/audbin:

/etc/audit/audit.conf

 
output {
        mode            = bin;
        num-files       = 4;
        file-size       = 20M;
        file-name       = "/var/log/audit.d/bin";
        notify          = "/bin/true";


第三种方式是写一个脚本定时删除save.*文件。