搜索

11.2. 审计系统架构

download PDF

审计系统由两个主要部分组成:用户空间应用程序和工具,以及内核端系统调用处理。内核组件接收用户空间应用程序的系统调用,并通过以下过滤器对其进行过滤:usertaskfstypeexit

系统调用传递 exclude 过滤器后,它将通过上述中的一个过滤器发送,该过滤器根据审计规则配置,将其发送到审计守护进程以进行进一步处理。

用户空间审计守护进程从内核收集信息,并在日志文件中创建条目。其他审计用户空间工具与审计守护进程、内核审计组件或审计日志文件进行交互:

  • auditctl Audit 控制工具与内核审计组件进行交互,来管理规则并控制事件生成进程的许多设置和参数。
  • 其余的审计工具将审计日志文件的内容作为输入,并根据用户的要求生成输出。例如,aureport 工具生成所有记录的事件的报告。

在 RHEL 9 中,Audit 分配程序守护进程(audisp)功能集成到 Audit 守护进程中(auditd)。用于实时分析程序与审计事件交互的插件配置文件默认位于 /etc/audit/plugins.d/ 目录中。

Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.