Auditについて - himainuの日記Linux2.6にはauditが入っている。 SELinuxなどのセキュアOSでは、これを使ってログ取ってるが、あまり知られていない。 組込み種ITやってたら、auditを直す必要に迫られたので、解析してみよう。 auditの構成 カーネル部分 kernel/audit.c audit本体。kauditが動作。kauditは、netlinkソケットで接続待ちするカーネル空間で動作するデーモン。ログメッセージの窓口となるデーモン kernel/auditsc.c システムコールのログ取り関係。 kernel/auditfilter.c ソース読み中 ユーザランド auditd,auditctl等 auditdはユーザランドで動くデーモンで、kauditd->auditd->audit.log書きこみのようにログが取られる。auditctlは、カーネルのauditのパラメータ調整などをする。a
