17.3 安装审计支持

　　对于事件审计的支持， 已经随标准的 installworld 过程完成。 管理员可以通过查看 /etc/security 的内容来确认这一点。 您应能看到一些名字以 audit 开头的文件， 例如 audit_event。

　　对于审计功能的用户态支持目前是作为 FreeBSD 基本系统的一部分来安装的。 默认内核中也包含了对于事件审计的内核支持， 但如果您使用的是定制内核， 就必须在内核配置文件中明确指定希望添加这一支持：

options    AUDIT

　　接下来， 您应按照 第 8 章 中所介绍的步骤来完成一次内核的编译和安装。

　　在编译好并安装了内核， 并重新启动了系统之后， 就可以在 rc.conf(5) 中增加下列配置来启用审计服务了：

　　在编译、安装了开启审计功能的内核，并重新启动计算机之后， 就可以在 rc.conf(5) 中增加下列配置来启用审计服务了：

auditd_enable="YES"

　　此后， 必须重新启动系统， 或通过下面的命令手工启动审计服务来启动审计支持：

/etc/rc.d/auditd start