即時監視對機要檔案的檔案存取

以下步驟可用來即時監視對機要檔案的檔案存取。

執行下列步驟：

設定要監視其變更的機要檔案清單，例如 /etc 中的所有檔案，然後在 objects 檔中，配置這些檔案使用 FILE_Write 事件：
```
find /etc -type f | awk '{printf("%s:\n\tw = FILE_Write\n\n",$1)}' >> /etc/security/audit/objects
```
設定 STREAM 審核，列出全部的檔案寫入 (本範例將列出所有寫入主控台的檔案，但在正式作業環境中，您可能要有個後端，將事件傳送到「侵入偵測系統」)。 /etc/security/audit/streamcmds 檔案如下：
```
/usr/sbin/auditstream | /usr/sbin/auditselect -e "event == FILE_Write" |
auditpr  -hhelpPRtTc -v > /dev/console &
```

在 /etc/security/audit/config 設定「串流」模式審核，新增檔案寫入事件的類別，並配置所有須以該類別審核的所有使用者：

start:
                binmode = off
                streammode = on

stream:
                cmds = /etc/security/audit/streamcmds

classes:
                filemon = FILE_write

users:
                root = filemon
                afx = filemon
        ...

現在執行 audit start。所有的 FILE_Write 事件便會顯示在主控台。