Подсистема аудита в Linux позволяет на основе предварительно настроенных правил отслеживать значимую информацию о безопасности операционной системы. 4 Она создаёт записи журнала для дальнейшего расследования нарушений политики. 4

Подсистема аудита состоит из двух групп компонентов: в пространстве ядра это kauditd, а в пользовательском — auditd. 4 В общем виде схема работы подсистемы аудита выглядит следующим образом: 4

1. Ядро, принимая системные вызовы из user space, пропускает их через фильтры user, task, filesystem, exclude и exit: 4

• Фильтр user используется для фильтрации (исключения) событий, происходящих в пользовательском пространстве до отправки в auditd. 4 Практически никогда не используется. 4
• Фильтр task применяется для системных вызовов fork() и clone(). 4
• Фильтр filesystem используется для исключения событий для конкретной файловой системы. 4
• Фильтр exclude задаёт исключения для событий. 4
• Фильтр exit проходят все системные вызовы. 4 Обычно настраивают именно этот фильтр. 4

1. Через netlink(7) сообщения отправляются из kauditd в auditd. 4
2. При получении событий, демон auditd записывает их в лог (по умолчанию /var/log/audit/audit.log). 4

Некоторые примеры событий, которые отслеживает подсистема аудита: старт и окончание работы ОС, чтение, запись и изменение прав доступа к файлам, инициирование сетевых подключений и другие. 2

Для настройки системы аудита используется утилита auditctl: её включения/выключения, проверки статуса работы, загрузки/выгрузки правил аудита. 1

Для работы с журналом аудита доступны такие утилиты, как ausearch, aureport, aulast и другие. 14