1.修改system-auth文件

wKiom1NXcV6D4KNIAAAj_iKJpFg776.jpg

2.修改password-auth文件

wKiom1NXcXCwpX7vAAAlcConRp0232.jpg

wKioL1NXcUjQvD2-AAMBAlScmeY842.jpg

3.重启auditd服务

wKiom1NXcYbAqyM4AABQfE5MWqs088.jpg

4.测试

    (1)在server1上监控日志文件

wKiom1NXcd_QfAkhAAAeSNjGJwE261.jpg

wKioL1NXcbexV_3dAAB4ZTM76j8359.jpg

   (2)远程登录server1,执行下列命令

wKioL1NXchDAtJmSAAAk9NzIjPw084.jpg

    (3)查看监控日志出现的信息