审计的子配置文件在 /etc/security
日志或管道中的审计记录 是二进制格式的。
在提交审计记录并不意味着它将被实际写入。 每个审计记录 都有一个 k_ar_commit 字段,用于指定这个审计记录是否需要记录,和需要记录到哪个目的地。
对日志的实际写入,直接从内核空间执行到审计文件,不涉及用户模式。
通过 VFS API 直接写入一个打开的 vnode。
用户模式 可以使用 auditctl 系统调用,打开一个新的 vnode。这是用户的守护需要的特征
内核不能创建vnode 。vnode 的创建室友用户模式守护进程创建的。
audit 系统调用,允许用户空间进程利用审计功能,以便生成它自己的审计记录,然后系统调用 需要一个 审计记录和对应的记录长度,提交到内核中,内核进行记录,从而最终会出现在系统的审计日志中。
缺点是:记录的审计报告是时候的。不能足够快地反应杀死违规的过程,那么久会让监控软件处于不利地位