10.2. Arquitetura do sistema de auditoria

O sistema de Auditoria consiste em duas partes principais: as aplicações e utilitários de espaço do usuário, e o processamento de chamadas do sistema do lado do kernel. O componente kernel recebe chamadas de sistema de aplicações de espaço do usuário e as filtra através de um dos seguintes filtros: user, task, fstype, ou exit.

Uma vez que uma chamada de sistema passa pelo filtro exclude, ele é enviado através de um dos filtros acima mencionados, que, com base na configuração da regra de Auditoria, o envia para o daemon de Auditoria para processamento posterior.

O daemon de Auditoria do espaço do usuário coleta as informações do kernel e cria entradas em um arquivo de log. Outras utilidades do espaço do usuário de Auditoria interagem com o daemon de Auditoria, o componente Audit do kernel ou os arquivos de log de Auditoria:

No RHEL 8, a funcionalidade do daemon de Auditoria (audisp) está integrada no daemon de Auditoria (auditd). Os arquivos de configuração dos plugins para a interação de programas analíticos em tempo real com eventos de Auditoria estão localizados no diretório /etc/audit/plugins.d/ por padrão.