Auditd — подсистема логирования в Linux, которая позволяет фиксировать события на ОС в журнал. 2 С её помощью можно отслеживать, например, запуск и завершение работы системы, запуск и остановку приложений, доступ к файлам и изменение прав на них, изменение информации о пользователе или группе и другие события. 3

Чтобы использовать auditd для мониторинга процессов, нужно создать правила. 3 Для этого используется утилита auditctl. 3 Команда для создания нового правила имеет следующий формат: 3

sudo auditctl -a список,действие -S имя_системного_вызова -F фильтр< 3/code>

3

В этой команде: 3

• Список — это список событий, в который нужно добавить правило. 3 Существует пять списков: task, entry, exit, user и exclude. 13
• Действие — определяет, что нужно выполнить после события: записать его в журнал (always) или не записывать (never). 3
• Имя системного вызова — при обращении к какому вызову должен срабатывать триггер и перехватываться событие (например, open, close, exit и т. д.). 3
• Фильтр — необязательная опция, которая используется для указания дополнительных параметров. 3

Пример: нужно отслеживать обращения к файлам из каталога /etc. 13 Правило будет выглядеть так: sudo auditctl -a exit,always -S open -F path =/etc/. 13

Задавать правила возможно как через консоль, так и путём сохранения их в файле /etc/audit/audit.rules, в этом случае они будут действовать постоянно. 3

Для анализа журналов аудита используются утилиты aureport и ausearch, которые позволяют получать информативные отчёты из файлов журнала согласно заданным параметрам. 3