一、配置audit的config文件

以root用户编辑/etc/security/audit/config文件

vi /etc/security/audit/config
start:
binmode = off
streammode = on
将audit日志改为stream模式

二、配置audit的streamcmds文件

以root用户编辑/etc/security/audit/streamcmds文件

vi /etc/security/audit/streamcmds
将默认内容替换为

/usr/sbin/auditstream | auditpr -v | /usr/bin/logger -p local0.debug &

auditstream命令在流格式的审计记录生成时输出，通过管道交由auditpr，auditp读取auditstream传送多来的流格式的审计记录，并将格式化后的记录通过管道发送给logger，logger命令提供了与syslog子例程之间的接口，这个子例程向系统日志中写入。

三、配置/etc/syslog.conf文件

以root用户编辑/etc/syslog.conf文件

vi /etc/syslog.conf
在文件的末行添加如下一行

*.debug@192.168.1.100

上面的是键盘上的tab键，192.168.1.100改成你接收syslog的设备IP

四、刷新syslog配置

refresh -s syslogd
五、启动audit
停止：

audit shutdown
启动：

audit start
查看是否启动：

audit query
设置开机自动启动audit

vi /etc/inittab
audit:2:once:/usr/sbin/audit start >/dev/null 2>&1