关于 audit=1 内核参数的疑问 #

其实你不用纠结，audit=1 这个内核参数在 RHEL 7 里并没有被移除，它依然是开启启动阶段内核审计的有效手段。只不过在 RHEL 7 中，当你安装并启用 auditd 服务后，系统通常会默认在 GRUB 配置里加上这个参数——但如果你的环境是自定义配置，或者默认没加上，手动添加它到内核启动参数依然能让内核在系统初始化最早期就开始记录审计事件，覆盖 auditd 启动前的那段时间。

启动阶段审计的官方文档参考 #

RHEL 7 的官方《安全指南》（Security Guide）里有专门章节讲内核审计，其中就包含启动阶段审计的配置、日志捕获逻辑这些内容。你可以通过系统自带的文档工具（比如 man auditd 或者查看 /usr/share/doc/audit-*/ 下的文档）找到详细说明。

仅安装 audit 包并启用 auditd 够不够？ #

得分情况看：

• 如果你的需求只是监控 auditd 启动之后的系统操作，那这么做完全足够——安装 audit RPM 包，执行 systemctl enable auditd 然后重启，auditd 启动后会接管内核审计日志的存储和管理，正常记录后续事件。
• 但如果你需要覆盖**系统启动早期（比如 GRUB 选择、initramfs 阶段）**的操作审计，那只启用 auditd 就不够了。因为 auditd 是系统服务，启动时间相对较晚，这段时间的操作只有通过内核参数 audit=1 开启内核级审计，才能把日志存在内核缓冲区里，等 auditd 启动后再转存到磁盘。

快速验证与配置方法 #

想确认当前系统是否开启了启动阶段审计，直接跑这条命令看内核参数里有没有 audit=1：

cat /proc/cmdline | grep audit

如果没看到，就编辑 /etc/default/grub，在 GRUB_CMDLINE_LINUX 字段里加上 audit=1，然后根据你的系统类型执行对应的 GRUB 配置生成命令：

• BIOS 系统：grub2-mkconfig -o /boot/grub2/grub.cfg
• UEFI 系统：grub2-mkconfig -o /boot/efi/EFI/redhat/grub.cfg
  重启后就生效了。

内容的提问来源于stack exchange，提问作者dafydd