Преимущества использования auditd в Linux:

• Работа на низком уровне мониторинга. 5 Инструмент отслеживает системные вызовы и действия с файлами. 5
• Наличие набора утилит для удобства работы. 5 Например, auditctl для управления демоном auditd, autrace для аудита событий, порождаемых процессами, ausearch для поиска событий в журнальных файлах и aureport для генерации отчётов о работе системы аудита. 2
• Постоянное развитие и обновление. 5
• Бесплатность и лёгкость установки. 5

Недостатки использования auditd в Linux:

• Большинство событий, возникающих при атаках, характерных для конкретного приложения, практически невозможно отслеживать. 5 На уровне системных вызовов и работе с файлами трудно отличить взлом от нормальной работы приложения. 5
• Auditd может замедлять работу ОС. 5 Это связано с тем, что подсистеме аудита необходимо проводить анализ системных вызовов. 5
• Не слишком гибок в настройке правил. 5
• Не лучший инструмент для работы с контейнерами. 5