Некоторые преимущества использования auditd для мониторинга системы:

• Перехват системных вызовов. 3 Auditd действует как фильтр, отслеживая все запросы программ к ядру операционной системы. 3
• Анализ по правилам. 3 Действия сравниваются с заранее определёнными критериями, чтобы выявить потенциальные угрозы. 3
• Централизованный журнал. 3 Все зафиксированные события записываются в единый журнал, что упрощает анализ и поиск инцидентов. 3
• Выбор важных событий. 1 Политика аудита позволяет из миллиона событий выбрать самые необходимые и важные, которые затем можно передать на средства аналитики или использовать для отладки работы системы. 1
• Обнаружение вторжений. 2 Информация полезна для обнаружения вторжений, а также при проведении расследований киберинцедентов. 2