audit daemon

審核守護進程（auditd調用）是一個開源的，免費的和非交互式的守護進程，一個命令行程序，它提供了必要的用戶空間的工具，在基於Linux內核的操作系統創建審核規則。

的軟件也可以用於搜索和存儲由在Linux內核2.6或更高審計子系統中生成的審核記錄。它可以作為您的GNU / Linux發行有限的獨立審計框架。

也被稱為Linux審核框架，審計服務項目最初創建，以提供系統調用審核不踩著的SELinux提供的項目的現有功能。

該程序可以打開並正在尋找在audit_control文件中指定的文件夾關閉審核日誌文件。這將需要在它們在該文件中指定並從內核只讀取審計數據的順序的所有文件。然後，將這些數據寫入到審計日誌文件。

此外，它執行了一個名為audit_warn當相應的審計文件夾填補過去寫在audit_control文件中規定的限值腳本。審計守護進程將發送警報到控制台以及audit_warn電子郵件別名。

要安裝在使用源代碼包的GNU / Linux操作系統的審計服務，你必須首先從它的官方網站上下載（請參閱文章末尾的​​網頁鏈接），保存歸檔在你的主頁目錄中，並使用歸檔管理器工具解壓。

在終端仿真器，使用＆lsquo的導航至提取的歸檔文件的位置;命令（如CD /home/softoware/audit-2.4.1），運行＆lsquo的; ./配置&&讓大局;命令配置和編譯程序，然後運行＆lsquo的;須藤使安裝＆rsquo的;命令寬安裝系統

什麼是此版本的新：

• 在添加python3的libaudit支持
• 在清理automake的警告
• 添加AuParser_search_add_timestamp_item_ex到Python綁定
• 添加AuParser_get_type_name到Python綁定
• obj_gid的auditctl正確處理（亞歷山大Zdyb）
• 請插件配置文件分析了長長的隊伍更強大的（＃1235457）
• 請auditctl狀態打印失去字段作為無符號數
• 添加解釋模式auditctl -s
• 添加python3支持auparse庫
• 請--enable-ZOS遙控構建時配置選項（克萊頓肖特韋爾）
• 更新的交叉編譯（克萊頓肖特韋爾）
• 添加MAC_CHECK審計事件類型
• 添加libauparse pkgconfig文件（亞歷山大Zdyb）

什麼在2.4.1版本新：

• 請python3支持更容易
• 添加支持ppc64le（托尼·瓊斯）
• 添加一些翻譯ioctl系統的A1調用
• 添加命令和虛擬化報告aureport
• 更新aureport配置報告新事件
• 添加帳戶修改總結報告aureport
• 添加GRP_MGMT和GRP_CHAUTHTOK事件類型
• 修正aureport賬戶變更報告
• 添加完整的事件報告aureport
• 添加配置的變化總結報告aureport
• 調整一些sys -log消息級別設置在audispd
• 改善家居解析性能
• 在當前ausearch輸出線，使用前面分析的值（刻錄Alting）
• 改進搜索和解釋群體事件
• 完全解釋auparse的proctitle領域
• 修正libaudit和內核特性auditctl支持
• 在通過auditctl添加支持backlog_time_wait設置
• 為3.18內核更新系統調用表
• 忽略的電子郵件驗證DNS故障在auditd調用（＃1138674）
• 允許旋轉的動作space_left和disk_full在auditd.conf
• aureport
的正確的登錄總結報告
• Auditctl系統調用可以用逗號分隔的列表現在
• 在新的子系統和功能更新規則

什麼在2.3.2版本新：

• 把RefuseManualStop在右側systemd部分（＃969345 ）
• 添加舊啟動腳本systemd支持
• 添加更多的系統調用參數的解釋
• 添加“未設置”關鍵字UID和GID值auditctl
• 在ausearch，解析OBJ在IPC記錄
• 在ausearch，物體進行解析在DAEMON_ROTATE記錄
• 的MQ_OPEN和MQ_NOTIFY事件修復演繹
• 在auditd調用，對SIGHUP重新啟動調度程序，如果它先前已退出
• 在audispd，當重新配置沒有檢測到活動的插件退出
• 在audispd，明確的信號面罩libev重新設置，使SIGHUP作品
• 在audispd，跟踪二進制插件，如果二進制文件進行了更新，重新啟動
• 在audispd，確保我們將信號發送到正確的進程
• 在auditd調用，任何產卵子進程時明確信號屏蔽
• 在audispd，使內置的插件來SIGHUP響應
• 在auparse，如果O_CREAT傳遞解釋開放的系統調用的模式標誌
• 在但是audisp遙控，不作地址查找始終永久性故障
• 在但是audisp遙控，更有效地去除EOE事件
• 在auditd調用，記錄的原因，當電子郵件帳戶無效
• 在但是audisp遙控，更改默認remote_ending行動，重新連接
• 添加支持Aarch64處理器

什麼在2.2.1版本新：

• 在添加更多的解釋在auparse的系統調用的參數
• 添加一些解釋，以ausearch的系統調用的參數
• 在ausearch /報告auparse，分配額外的空間，節點名稱
• 為3.3.0內核更新系統調用表
• 更新libev到4.0.4
• 在減少某些應用程序的大小
• 在auditctl，檢查使用情況對EUID，而不是UID

什麼在2.1.1版本新：

• 在當前ausearch的訓釋，輸出和QUOT;原樣QUOT ;如果沒有=發現
• 在遠程登錄正確的插槽設置

遠程登錄和init腳本
• 在調整了幾個默認設置
• 在Audispd沒有標記重啟的插件，主動
• 則audisp遙控應該保持一種能力，如果LOCAL_PORT＆LT; 1024
• 在當前audispd重新啟動插件，在其首選的格式發送事件
• 在但是audisp遙控，使所有的I / O異步
• 在但是audisp遙控，增加SIGUSR1處理程序來轉儲內部狀態
• 修正autrace使用正確的系統調用的S390和s390x系統
• 添加關機系統調用來遠程登錄拆解

對於32位系統
• 在正確autrace規則

什麼的2.1版本是新的：

• 在更新auditctl手冊頁的用戶過濾器新的領域

在aulast
• 修正崩潰時AUID是國外系統
• 在代碼清理
• 添加存儲轉發模式，audispd，遠程（米雷克Trmac）
• 在釋放內存的失敗創業公司則audisp-前奏

在aureport
• 修復內存洩漏
• 修正解析狀態問題libauparse
• 在提高libaudit場編碼功能的健壯性
• 在更新功能表
• 在auditd調用，使失敗操作的配置檢查一致
• 在auditd調用，檢查空不被傳遞到safe_exec
• 在但是audisp遙控，overflow_action沒有暫停，如果被選中的行動
• 進行的virt事件更新的解釋
• 在提高遠程日誌警告和錯誤信息
• 添加解釋為網絡過濾事件

什麼在2.0.6版本新：

• 在ausearch /報告的性能改進
• 同步所有樣品的系統調用規則，用行動，列表
• 如果程序名稱提供給audit_log_acct_message，逃吧
• 修正手冊頁audit_encode_nv_string功能（＃647131）
• 如果值為NULL，不段錯誤（＃647128）
• 在解決簡單的事件解析不承擔會話ID不能是最後一個（彭海濤）
• 添加支持新的mmap審計事件類型
• 添加能力audispd系統日誌插件可供選擇的設施local0-7（＃593340）
• 修正autrace使用在i386系統正確的系統調用（彭海濤）
• 在啟動和重新配置，檢查是否有多餘的日誌，並斷開其鏈接
• 添加一對夫婦失踪解析器調試信息
• 修正錯誤輸出解決數字地址和更新手冊頁
• 添加netfilter的事件類型
• 修正拼寫錯誤audit.rules手冊頁（＃667845）
• 在完善有關一成不變的模式（＃654883）在auditctl警告
• 的2.6.37內核更新系統調用表
• 在ausearch，讓搜索AUID -1
• 在加入隊列overflow_action到但是audisp-遙控器來控制隊列溢出
• 在新的系統調用和更新包樣品規則

什麼是2.0.5版本，新的：

• 在一對夫婦修復被用於製作32位使用規則一個inode場時系統。
• 在系統調用表的更新是針對最新的內核進行。
• 新事件增加了服務的啟動/停止和虛擬化。
• 在auditctl忽略指令的處理是固定的。

什麼是2.0.3版本，新的：

• 在許多遠程登錄的修正做了，包括潛在的如果GSSAPI啟用的安全問題。

什麼是2.0.1版本，新的：

• 在getloginuid固定的Python綁定
• 的audispd AF_UNIX插件被默認為禁用。
• 在遠程登錄修正了。
• 在初始化腳本進行了更新。
• 在該名男子網頁被更新。