Red Hat Training

A Red Hat training course is available for RHEL 8

12.2. Audit 系统架构

Audit 系统由两个主要部分组成:用户空间应用程序和实用程序,以及内核端系统调用处理。内核组件从用户空间应用程序接收系统调用,并通过以下过滤器之一对其进行过滤:用户、任务、fstypeexit

系统调用通过 exclude 过滤器后,它将通过上述其中一个过滤器发送,这些过滤器根据 Audit 规则配置将其发送到 Audit 守护进程,以进行进一步处理。

用户空间审计守护进程从内核收集信息,并在日志文件中创建条目。其他 Audit 用户空间实用程序与 Audit 守护进程、内核审计组件或 Audit 日志文件交互:

  • auditctl - Audit 控制实用程序与内核审计组件交互,以管理规则并控制事件生成进程的许多设置和参数。
  • 剩余的 Audit 实用程序将 Audit 日志文件的内容作为输入,并根据用户的要求生成输出。例如,aureport 实用程序生成所有记录事件的报告。

在 RHEL 8 中,审计分配程序守护进程(audisp)功能集成在 Audit 守护进程(auditd)中。用于实时分析程序与 Audit 事件交互的插件配置文件默认位于 /etc/audit/plugins.d/ 目录中。