man

• man auditd
• man auditd.conf
• man auditctl

audit = 監査。
auditdはカーネルに対するシステムコールの監査ログを取る。
auditデーモンはカーネルの一部として動いている？

SELinuxと連携してポリシー違反のログを取ったり。
SELinuxがenableのときに、やたらとauditdのログが出るのはこのため。

logfile

• /var/log/audit/audit.log
• /var/log/messages

config file

• /etc/audit/auditd.conf
• /etc/audit/audit.rules

audit.rulesの設定

auditctlのヘルプ参照。

• ex) /path/to/fileへのアクセスを監査する

-w /path/to/file

※ RHEL3は/varを使い切るぐらいにログが溜まるらしい。バグ？